RISK OCH SÅRBARHETSANALYS. Innehållsförteckning. Mall Grundläggande krav. Risk och sårbarhetsanalys 2002-01-09 Sida 1 (7)



Relevanta dokument
Kommunövergripande riktlinjer för säkerhet och krisberedskap i Östra Göinge kommun mandatperioden

Rikspolisstyrelsens författningssamling

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Riktlinjer för säkerhetsarbetet i Gullspångs kommun. Antagen av kommunfullmäktige

UTDRAG UR HANDBOKEN BRANDSKYDDSANSVARIG FÖRESTÅNDARE BRANDFARLIG VARA AVSEENDE SYSTEMATISKT BRANDSKYDD

Riktlinjer för säkerhet i Växjö kommun

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

HP ATLE Införandeplan

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Kf 83/ Kf IT-säkerhetspolicy

Informationssäkerhet - Instruktion för förvaltning

IT-säkerhetspolicy för Åtvidabergs kommun

Riktlinjer för säkerhetsskydd och beredskap

Informationssäkerhet i. Torsby kommun

Interna riktlinjer för systematiskt brandskyddsarbete-tolkning 2

Systematiskt säkerhetsarbete Checklista vid riskinventering

Lednings- och styrdokument. SÄKERHET Styrdokument antaget av kommunfullmäktige den 20 juni 2011

INNEHÅLLSFÖRTECKNING

ISO I PRAKTIKEN

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

Åklagarmyndighetens författningssamling

Systemförvaltningshandbok

Hantering av känslig information inom dricksvattenförsörjningen. Ann-Sofie Wikström Vatten & Miljöbyrån

Metodstöd för ISD-processen. Övergripande beskrivning

Risk- och sårbarhetsanalys samt inriktningsmål

IT-verksamheten, organisation och styrning

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Policy för informationssäkerhet

Riktlinjer för Systematiskt säkerhetsarbete

Tjänsteavtal för ehälsotjänst

Företagets logotyp. Plats för företagets logotyp 1

Egenkontroll avseende riskhantering

Informationssäkerhetspolicy för Vetlanda kommun

KVALITETSPLAN AUTOMATISKT BRANDLARM

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Datum. Vid säkerhetsskyddad upphandling med säkerhetsskyddsavtal

Dokument 5 till Kontrakt

Anvisning vid väpnat våld i skolmiljöer

Policy för ny-, om- och tillbyggnad av kommunala lokaler

Institutionen för kommunikation och information Högskolan i Skövde, Box 408 S Skövde, SWEDEN

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Grundläggande IT-strategi för Falkenbergs kommun Kommunledningskontoret IT-avdelningen

Hot Risker Larma 112 Eld och brand

Beredningen för integritetsfrågor

KOMMUNAL FÖRFATTNINGSSAMLING Nr 170.2

Informationssäkerhetspolicy

Som man frågar får man svar

Metodstöd 2

Krisledningsnämnd. Strategisk Krisledning. Krisledningsstab

Kvalitetsplan för Automatiskt Brandlarm

Mall. Katastrofmedicinsk. för primärvården. Förvaltning Vårdcentral Sjukvårdsrådgivning. November 2011 Reviderad

Bilaga 5: Dokumentation Ver. 0.9

Kapitel 7 Hantering av tillgångar

Uppföljning av verksamhetsplan för IT-avdelningen 2012 per april

Datum Diarienr. /2015

SVERIGES 18-ÅRINGAR HAR FÅTT EN VIKTIG UPPGIFT

Ägardirektiv för ElmNet AB

Diarienr. HUVUDKONTORET MiT-ENHETEN. IT-bilaga Hälsoval. Landstinget Dalarna. Version: 1.1 Versionsdatum:

SFS 2006:544 LAG OM KOMMUNERS OCH LANDSTINGS ÅTGÄRDER INFÖR OCH VID EXTRAORDINÄRA HÄNDELSER I FREDSTID OCH HÖJD BEREDSKAP

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Handlingsprogram för skydd mot olyckor Efter remissrunda Antaget av kommunfullmäktige , 98 Diarienummer 382/12-015

Kommunens författningssamling

Dokumenttyp. Namn på uppdraget. Integrering mellan larmhanteringssystem och vård- och omsorgssystem

Socialstyrelsens författningssamling

Räddningstjänsten Öland. Guide till Systematiskt Brandskyddsarbete (SBA)

Ordningsregler vid tillfällig övernattning

Operationell manual för sambands- och informationssystemtjänst inom Försvarsmaktens militära luftfartsverksamhet, Informationssystemtjänst COM IS

E-plattformen Streamflow

Vad vill MSB? Information till alla medarbetare om verksamheten 2014 med utgångspunkt i det vi vill uppnå i samhället

Revisionsrapport egenkontroll avseende riskhantering fungerar egenkontrollen med verktyget RH-check på ett tillfredsställande sätt?

Bilaga 22 till kundval hemtjänst IT relaterade beskrivningar

IT-Systemförvaltningspolicy

ByggaF Metod för fuktsäker byggprocess

säkerhet i byggprojekt

Riktlinjer för kooperativet Hand i hands arbetsmiljöarbete

Krishanteringsprogram

BRANDSKYDDSPOLICY för GISLAVEDS KOMMUN

Riktlinjer för systematiskt brandskyddsarbete (SBA) Socialförvaltningen. Antagna av SN:

Myndigheten för samhällsskydd och beredskap Enheten för lärande av olyckor och kriser Karlstad BRANDUTREDNING

Följa upp, utvärdera och förbättra

Leverantörsförslag till samarbete kring säkerhetstest

POLISMYNDIGHETEN I IT-POLICY 1 (5) ÖSTERGÖTLANDS LÄN Förvaltningsavdelningen

Handläggarstöd Legionella ett kunskaps- och tillsynsprojekt inom Miljösamverkan Västernorrland. Version

Policy. Handlingsplan för samhällsstörning. Sida 1/7

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Lotteriinspektionens författningssamling

Styrande dokument beslutat av GD. Kulturarv STATENS FASTIGHETSVERK

BYGGRITNING FÖR VÅRT VARUMÄRKE.

Jämförelse mellan miljöledningssystemen Svensk Miljöbas, ISO och EMAS Svensk Miljöbas 3:2013

Tekniska anvisningar Inbrottslarm

SYSTEMATISKT BRANDSKYDDSARBETE NIVÅ 2. Exempel Större grundskola

Uppföljning av 2008 års granskning av informationssäkerheten hos Knivsta kommun KS-2011/787

Krisledningsplan

Informationssäkerhetspolicy

Generaldirektör. Överdirektör. Avdelningen för utbildning, övning och beredskap. Karlstad. Enheten för utveckling av räddningstjänst och krishantering

Avtalsform Ramavtal & enstaka köp Namn Nyckelfri låslösning för hemtjänsten

Min sida av saken... kan vi som kund förändra

Stockholms läns landsting 1 O)

Revisionsrapport. Nerikes Brandkår. Granskning av riktlinjer och rutiner för hantering av akuta omvärldssituationer

Lagen om extraordinära händelser. Helen Kasström, MSB

Transkript:

FÖRSVARETS MATERIELVERK ANVISNING LOKALA NÄT 2002-01-09 Sida 1 (7) RISK OCH SÅRBARHETSANALYS Innehållsförteckning SYFTE...2 STYRANDE DOKUMENT...3 RISK- OCH SÅRBARHETSANALYS...4 SYSTEMKRAV...5 Systemomfattning...5 Dialog med utbyggnadsansvarig...6 Utbildning och kompetens...6 Tillgänglighet och "nåbarhet"...6 Sekretesskrav...6 Tillträdesskydd...6 Driftsäkerhet...7 Brandskydd...7 Vätskeskydd...7 Bilaga 1 Bilaga 2 Checklista Hotbild Mall Grundläggande krav

FÖRSVARETS MATERIELVERK ANVISNING LOKALA NÄT 2002-01-09 Sida 2 (7) SYFTE För att på ett effektivt sätt kunna utföra installationen är det viktigt att så tidigt som möjligt fastställa hur systemet skall utformas. I detta avsnitt anges viktigare grundkrav för en risk- och sårbarhetsanalys som påverkar valet av systemlösning och krav på säkerhetsskyddet. Som hjälp har framtagits checklista och mall som återfinnes i bilaga 1 "Checklista Hotbild" och bilaga 2 Mall Grundläggande krav. Efter att ha fyllt i dessa checklistor kan en projektspecifikation tas fram. Projektspecifikationen skall utgöra grunddata för projekteringen. Dessutom sammanställs en förteckning över de övergripande dokument som beskriver krav på IT-baserade system inom försvaret.

FÖRSVARETS MATERIELVERK ANVISNING LOKALA NÄT 2004-06-01 Sida 3 (7) STYRANDE DOKUMENT Inom Försvarsmakten finns ett antal dokument som är styrande för ITverksamheten. Anvisning Lokala nät grundar sig på dessa dokument och dess föregångare. Följande dokument innehåller de för närvarande (uppdaterad juni 2004) gällande styrande reglerna för verksamheten. Beteckning Dokument Anm C HKV skr 2002-12-17 10 750:72992 Ackreditering av Försvarsmaktens IS /IT-system FIB 2003:01 Bestämmelser om IT-verksamhet. Träder i kraft 2004-01-01 DIT 04 HKV 09626:783 69 2003-12-15 DIT 01 HKV 09626:62156 2001-02-19 FM ITK 01:1, juli 2001 M7757-787614 HKV 12 873:71938 97-09-24 Nytt Direktiv för Försvarsmaktens informationssystem- /informationsteknikverksamhet Direktiv för Försvarsmaktens informa- tionssystem- /informationsteknikverksamhet Försvarsmaktens informationstekniska katalog Sekretessbedömning av LANdokumentation Ersätter tillsammans med ITK 01 FM HIT 97:3. se nedan. Ersätter FM HIT 97:3. Framtaget av FVL avseende LAN vid flottiljer. H SÄK IT 2001 M7745-734061 Handbok för Försvarsmaktens säkerhetsskyddstjänst Informationsteknologi H-Säk SUA HKV 10 730:62232 1996-02-23 H-Säk SUA-Säkerhetsskyddad upphandling med säkerhetsskydds avtal utgåva 8 cd RÖS-strategi för Försvarsmakten M7745-735013 Säktj 02 CDR HKV 12 870:81290 ÖCB 6-1323/95, 1995-11-15 SYMM FGT (Op3 H820:7644, 1989-09-01) SYMM TODAKOM Systemmålsättning för totalförsvarets gemensamma datakommunikation Försvarets gemensamma telekommunikationer SYMM TODAKOM innehåller principer för ett för totalförsvarets ledningssystem gemensamt system för datakommunikation mellan ledningsplatser.

FÖRSVARETS MATERIELVERK ANVISNING LOKALA NÄT 2002-01-09 Sida 4 (7) RISK- OCH SÅRBARHETSANALYS Som hjälp vid risk- och sårbarhetsanalys kan checklistan i bilaga 1 (Hotbild) nyttjas. Ifylld checklista ger aktuell hotbild samt bedömd skyddsåtgärd inom följande områden. Förstörelse Förvanskning Förlust Elmiljö Logiska angrepp Nedanstående frågor syftar till att klarlägga säkerheten i dator- och telemiljön där bristande säkerhetsskydd innebär negativa konsekvenser för verksamheten. Skall objektet användas både under fred såväl som under kris och krig? Skall objektet endast användas i fred? Skall objektet användas endast under beredskap och krig? Är den aktuella verksamheten sekretessbelagd? Berörs flera ansvarsområden av systemet eller installationen? Har verksamhetsanalys genomförts? Finns den dokumenterad? Har sårbarhetsanalys genomförts? Finns riktlinjer för IT-säkerheten framtagna av beställaren? Finns för projektet anpassade IT-säkerhetsföreskrifter? Behandlas IT-säkerhetsfrågor i planerade studier och spel? Innehåller spelkort, eller motsvarande, underlag för att utvärdera konsekvenser av brister i IT-säkerhetsskyddet? Finns kostnader för IT-säkerhetsskyddsåtgärder medtagna för projektet? Finns det dokumenterat vilka system som skall upprätthållas i kris och krig? Genomförs beredskapsanläggningen som en del av beställt objekt?

FÖRSVARETS MATERIELVERK ANVISNING LOKALA NÄT 2002-01-09 Sida 5 (7) Finns det dokumenterat vilka reservrutiner som skall förberedas i fred, kris och krig? Finns det dokumenterat för lokala system vilka manuella reservrutiner som skall finnas vid datorbortfall? Har personalen fått erforderlig utbildning i IT-säkerhet? Har lagenliga krav på säkerhet beaktats? Har konsekvenser i dessa lagar redovisats? Har krav i H SÄK IT beaktats? Är information om projektet sekretessbelagd? SYSTEMKRAV För att definiera verksamhetskraven och därmed krav på utformning av systemet/anläggningen bör detta dokumenteras. Som hjälp kan mall Grundläggande krav i bilaga 2 nyttjas. Nedanstående frågeställningar kan även vara till hjälp. Systemomfattning Hur många och vilka informationssystem skall införas? Vilka framtida utökningar kan redan idag ses? Finns det tidigare system som det är effektivt att integrera i systemet? Vilka system finns idag? Vilka kommersiellt tillgängliga system kan nyttjas? Samverkan? Skall de olika delsystemen kunna samverka? Vilka krav innebär detta? Skall samma användare utnyttja flera olika delsystem? Räcker det att denna har möjlighet att nå dessa var för sig, eller måste/får man samköra dem? Skall det finnas spärrar mot samkörning av delsystem?

FÖRSVARETS MATERIELVERK ANVISNING LOKALA NÄT 2002-01-09 Sida 6 (7) Dialog med utbyggnadsansvarig I dialogen med verksamhetsstället är det mycket viktigt att såväl projekteringsansvarige som brukaren är medvetna om vilka krav som ställs upp och vad de innebär. Det är därför viktigt att skriva noggranna protokoll från dialogtillfällena och sammanställa dessa till krav. I de fall krav är motstridiga skall detta så snart det uppmärksammas tas upp i dialogen för beslutande bedömning. Utbildning och kompetens Dokumentation av systemet samt utbildning av personal som ingår i projektet måste säkerställas. För att handha, underhålla och nyttja en installation av den komplexitet som ett nät med nödvändighet innebär krävs stora utbildningsinsatser för att skapa och vidmakthålla erforderlig kompetens hos driftpersonalen. Tillgänglighet och "nåbarhet" Vilken tillgänglighet skall systemet ha, dvs hur ofta får systemet vara otillgängligt, respektive hur lätt skall det vara att komma åt systemet, t ex från valfri arbetsplats i nätet? Sekretesskrav Sekretesskrav ställer krav på begränsningar i åtkomst, verifiering, validering och loggning, varför dessa krav ofta upplevs som motstridiga mot tillgänglighets- och nåbarhetskraven ovan. Tillträdesskydd Vilka skall ha tillträde till lokaler för systemet. Dessa lokaler är t ex datorhallar, kommunikationsrum, nätknutpunkter, kabelbrunnar, skarvpunkter etc.

FÖRSVARETS MATERIELVERK ANVISNING LOKALA NÄT 2002-01-09 Sida 7 (7) Driftsäkerhet De driftsäkerhetskrav som verksamheten ställer på systemet skall fastställas. Det är viktigt att kraven inte sätts högre än nödvändigt, då dessa krav är ytterst kostnadsdrivande. Utgående från kraven bestäms vilka drift- och underhållsresurser som krävs för att uppfylla dessa. Brandskydd Hur länge skall system och lokaler tåla brand innan driften störs? Rutiner för att skydda sig efter brand, t ex förvaring av back-uper och systemåterskapande dokumentation på annan brandskyddad plats i annan brandcell. Planläggning för åtgärder vid brand eller annan katastrof. Avtal om reservutrustning m m. Vätskeskydd Finns risker för inträngande vatten eller andra vätskor? Tak, avlopp, tappvatten genom lokalen, radiatorsystem, kylanläggning?

FÖRSVARETS MATERIELVERK LOKALA NÄT BILAGA 1 2002-01-04 Sida 1 CHECKLISTA HOTBILD Hot mot: Kapital -K Driftsäkerhet -D Information -I Kvalitet -Q Händelsen är aktuell under: Fred -F Kris -K Krig -KR Konsekvenser för verksamheten: Katastrofal -K Allvarlig -A Lindrig -L Bedömd skadekostnad vid verkställt hot Bedömd skyddsåtgärdskostnad Beslut Förstörelse Sabotage: - Infiltration - Obehörigt intrång - Obehörig åtkomst till information Olycka: - Brand i egen lokal - Brand i angränsande lokal - Åska - Avgrävning - Vattenskada Miljö Förvanskning Förlust Stöld: - Hårdvara - Datamedia Misstag Fel i programvara Brist på service Brist på reservdel Utslagning av telesystem: - Del av dygn - Flera dygn Elmiljö RÖS

FÖRSVARETS MATERIELVERK LOKALA NÄT BILAGA 1 2002-01-04 Sida 2 Hot mot: Kapital -K Driftsäkerhet -D Information -I Kvalitet -Q Händelsen är aktuell under: Fred -F Kris -K Krig -KR Konsekvenser för verksamheten: Katastrofal -K Allvarlig -A Lindrig -L Bedömd skadekostnad vid verkställt hot Bedömd skyddsåtgärdskostnad Beslut Elavbrott Transienter EMP EMI Logiska angrepp (systemintrång) Informationsröjning Fördröjning Maskerad Repetition Förnekande Omstyrning Trafikanalys

2002-01-04 Sida 1 Checklista grundläggande krav Anläggning (verksamhetsställe) Detta underlag har som mål att klarlägga gränssättande faktorer som påverkar systemets utformning. Kort beskrivning av systemets användningsområde Systemets utformning

2002-01-04 Sida 2 Grundvärden DATORSYSTEM: DATORTYP: AVSETT FÖR: ST ANVÄNDARE TELESYSTEM: VÄXELTYP: AVSETT FÖR: ST ANVÄNDARE BEDÖMD SEKRETESSNIVÅ: LÅG MEDEL HÖG För verksamheten gränssättande krav BEDÖMD DRIFTSÄKERHETSNIVÅ: MEDEL HÖG LÄNGSTA ACCEPTABLA TID FÖR DRIFTAVBROTT: SYSTEMET SKALL VERKA I FRED BEREDSKAP KRIG LÅG BEREDSKAPSPLAN FINNS JA NEJ ALTERNATIVA DRIFTSTÄLLEN FINNS NEJ JA

2002-01-04 Sida 3 Verksamhetskrav Följande uppgifter klarlägger säkerheten i dator- resp telemiljön där bristande säkerhetsskydd innebär negativa konsekvenser för verksamheten. Vilka olika system Hur många och vilka informationssystem skall införas? Vilka framtida utökningar kan redan idag ses? Finns det tidigare system som det är effektivt att integrera i systemet?

2002-01-04 Sida 4 Samverkan Skall de olika delsystemen kunna samverka? Vilka krav innebär detta? Skall samma användare utnyttja flera olika delsystem? Räcker det att denna har möjlighet att nå dessa var för sig, eller måste/får man samköra dem? Skall det finnas spärrar mot samkörning av delsystem? Sekretess Vilka sekretesskrav finns? Vad måste skyddas, vad är hotet? Styrande dokument I de för systemet aktuella styrande dokumenten har följande tekniska krav kunnat identifieras.

2002-01-04 Sida 5 Krav i TTEM I de fall systemkrav finns beskrivna i TTEM skall dessa utnyttjas som systemkrav. Mängder och omfattning Antal datorer, förbindelser, kapacitet och media. Hur skall nätet se ut?

2002-01-04 Sida 6 Säkerhet Längsta acceptabla tid för driftstopp vid totalhaveri, för respektive applikation - Applikation: - Tillåten avbrottstid: - Applikation: - Tillåten avbrottstid: - Applikation: - Tillåten avbrottstid: - Applikation: - Tillåten avbrottstid: Övrigt EMP-skydd Erf EMP-skydd Ja Nej Anm: RÖS-skydd RÖS-skydd Ja Nej Anm:

2002-01-04 Sida 7 Åskskydd Finns åskskydd Ja Nej Typ, kvalitet: Hög frekvens av åska Låg frekvens av åska Brandskydd Byggnadens konstruktion har hög låg total brandbelastning Brandsektionering (befintlig): Brandskydd i övrigt: Tillgång till vatten:

2002-01-04 Sida 8 Geografisk belägenhet Geografisk belägenhet innebär onormal risk för Översvämning Ja Nej Brand Ja Nej Sabotage Ja Nej Inbrott Ja Nej Tillträdesskydd Lokalen belägen Internt Externt Byggkonstruktion: Väggar: Golv: Tak: Dörrar: Lås: Fönster:

2002-01-04 Sida 9 Angränsande utrymmen (åt sidor, uppåt och neråt): Befintligt tillträdesskydd: Tillträdeslarm Ja Nej Om Ja, vilken typ: Behov av åtgärder: Mobil anläggning

2002-01-04 Sida 10 Övriga krav