Välja säkerhetsåtgärder

Relevanta dokument
Metodstöd 2

Kommunicera förbättringar

Planera genomförande

Metodstöd 2

Metodstöd 2

Utforma säkerhetsprocesser

Metodstöd 2

Kompletteringsuppgift: Verksamhetsanalys och riskanalys

Utforma policy och styrdokument

Fortsättning av MSB:s metodstöd

Fortsättning av MSB:s metodstöd

Ledningens genomgång

Metodstöd 2

Konstruera och anskaffa

Utveckla LIS och skyddet

Riskanalys. Version 0.3

Ramverket för informationssäkerhet 2

Ramverket för informationssäkerhet 2

Introduktion till MSB:s metodstöd

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Administrativ säkerhet

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Introduktion till metodstödet

Myndigheten för samhällsskydd och beredskaps författningssamling

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

BILAGA 3 Tillitsramverk Version: 1.3

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

skapa ett ökat mervärde uppnå ännu bättre resultat bidra positivt till människors tillvaro

BILAGA 3 Tillitsramverk Version: 2.1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Riktlinjer. Informationssäkerhetsklassning

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

VÄGLEDNING INFORMATIONSKLASSNING

Ledningssystem för kvalitet en introduktion

Att införa LIS. Förberedelser inför anpassning till ISO/IEC 17799

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

INFOKOLL. Formulera frågor Söka information

NIS-reglering.

Creative Commons en guide för lärare

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

BILAGA 3 Tillitsramverk Version: 1.2

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Creative Commons. en guide för lärare. En guide för lärare

Informationssäkerhetspolicy för Umeå universitet

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Välkommen till enkäten!

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Revisionsrapport. Bolagsverkets informationssäkerhet. 1. Inledning Bolagsverket SUNDSVALL.

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

ISO/IEC och Nyheter

Att vara agil och samtidigt arbeta efter ISO 9000 och ISO20000 går det? Stefan Lundkvist, Umeå Universitet

Policy för Linnéuniversitetets publicering av digitalt undervisningsmaterial

HANDLÄGGNINGSORDNING FÖR STYRDOKUMENT

Svar på revisionsskrivelse informationssäkerhet

Creative Commons en guide för lärare

Operight infotillfälle

Svensk Standard SS ISO/IEC SS

Ledningssystem för IT-tjänster

Metodstöd 2

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

LIKA - handlingsplan Exempelskolan Förslag/mall att bearbeta

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Agenda. Kort om Datacenter. Våra erfarenheter av 27001:2013. Summering

Informationssäkerhet och författningskrav i verksamheter

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Informationssäkerhetspolicy KS/2018:260

Ledningssystem för Informationssäkerhet


Riskanalys och riskhantering

Policy för Skånes Ridsportförbunds närvaro i sociala medier

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Landstingets revisorer

Ledningssystem för Informationssäkerhet

Granskning av räddningstjänstens ITverksamhet

Fria upphovsrättslicenser underlättar kunskapsdelning och lärande

Policy för informationssäkerhet

Beslut gällande valbar molntjänst för Lunds skolors och förskolors arbete med pedagogiskt genomförande.

Lathund för webbpublicering av bilder

Delredovisning av uppdrag


Informationssäkerhetspolicy. Linköpings kommun

Ledningssystem för informationssäkerhet - Kompetensprofil

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Policy för öppen källkod RIV Tekniska Anvisningar

Informationsklassning , Jan-Olof Andersson

Koncernkontoret Enheten för säkerhet och intern miljöledning

Transkript:

Välja säkerhetsåtgärder

www.informationssäkerhet.se 2 Upphovsrätt Tillåtelse ges att kopiera, distribuera, överföra samt skapa egna bearbetningar av detta dokument, även för kommersiellt bruk. Upphovsmannen måste alltid anges som MSB, www.informationssäkerhet.se. Vid egna bearbetningar får det inte antydas att MSB godkänt eller rekommenderar bearbetningen eller användningen av det bearbetade verket. Dessa villkor följer licensen Erkännande 2.5 Sverige (CC BY 2.5) från Creative Commons. För fullständiga villkor, se http://creativecommons.org/licenses/by/2.5/se/legalcode. Författare Helena Andersson, MSB Jan-Olof Andersson, RPS Fredrik Björck, MSB konsult (Visente) Martin Eriksson, MSB Rebecca Eriksson, RPS Robert Lundberg, MSB Michael Patrickson, MSB Kristina Starkerud, FRA Publicering Denna utgåva publicerades 2011-12-15

www.informationssäkerhet.se 3 Innehållsförteckning 1. Inledning... 4 1.1 Förberedande arbete... 5 1.2 Säkerhetsåtgärd... 5 1.3 Arbetsuppgifter... 6 2. Välj säkerhetsåtgärder... 7 2.1 Principer för val av säkerhetsåtgärder... 7 2.2 Faktorer som påverkar valet... 8 2.3 Välj säkerhetsåtgärder... 8 2.4 Analysera konsekvenserna... 9 2.5 Förankra valet av säkerhetsåtgärder... 10 3. Dokumentera valet... 11 3.1 Syfte med dokumentation... 11 3.2 Olika dokumentationssätt... 11 3.3 Dokumentationens innehåll... 11 4. Nästa steg... 12

www.informationssäkerhet.se 4 1. Inledning Syftet med det här dokumentet är att beskriva hur resultaten från de grundläggande analyserna (verksamhetsanalys, riskanalys och gapanalys) används för att bestämma vilka säkerhetsåtgärder som ska införas i verksamheten. Figur 1. Analysresultaten används för att fastställa lämpliga säkerhetsåtgärder

www.informationssäkerhet.se 5 1.1 Förberedande arbete De grundläggande analyserna visar det aktuella säkerhetsläget och ger den kunskap som behövs för att avgöra vad som bör göras för att få en balanserad informationssäkerhet: Verksamhetsanalysen visar både vilka informationstillgångar som ska skyddas och vilka krav det finns på skyddet. Denna kunskap påverkar valet av vilka säkerhetsåtgärder man ska införa, men också hur man inför dem, alltså omfattningen och djupet. Riskanalysen kan visa att det behövs direkta säkerhetsåtgärder som ska införas på en gång för att möta en specifik risk. Den som ska fastställa säkerhetsåtgärderna behöver därför ha tillgång till rapporten från riskanalysen. Gap-analysen visar hur den befintliga informationssäkerheten fungerar samt identifierar och värderar gapet mellan den uppmätta säkerhetsnivån och den norm som anges i standarderna ISO 27001 och 27002. Analysen visar alltså direkt vilka säkerhetsåtgärder som redan är införda och hur de står sig i förhållande till standardens norm. 1.2 Säkerhetsåtgärd Alla verksamheter behöver vissa säkerhetsåtgärder för att ha en god informationssäkerhet. En säkerhetsåtgärd införs för att minska de risker som kom fram under riskanalysen och gapanalysen och det finns olika slags åtgärder. Exempel på säkerhetsåtgärder: dokument som ska tas fram analyser som ska utföras tekniskt skydd som ska införas (till exempel brandvägg och intrångsdetektering) utbildningar som ska genomföras.

www.informationssäkerhet.se 6 Dessutom måste man ibland ta fram eller ändra administrativa processer för att säkerställa god informationssäkerhet. Detta behandlas närmare i dokumentet Utforma säkerhetsprocesser. 1.3 Arbetsuppgifter För att fastställa de nödvändiga säkerhetsåtgärderna är det främst två saker som behöver göras: 1. Välja säkerhetsåtgärder 2. Dokumentera valet Den första uppgiften passar bäst för analysledaren som gjorde de grundläggande analyserna. Han eller hon har redan intervjuat ansvariga personer för många av verksamhetens områden och har därför redan en bild av vad som bör införas och vad som kan vänta. Det kan dock bli aktuellt med kompletterande intervjuer eller seminarier. I nästa steg är det LIS-projektets styrgrupp som ska bestämma vilka åtgärder som ska sättas in samt dokumentera detta val.

www.informationssäkerhet.se 7 2. Välj säkerhetsåtgärder 2.1 Principer för val av säkerhetsåtgärder Det finns två olika synsätt på hur man bäst väljer lämpliga säkerhetsåtgärder. Antingen väljer man utifrån best practice (bästa praxis) eller också utifrån riskanalysen. 1. Utifrån best practice: Standarden 27002 listar 133 olika säkerhetsåtgärder som passar för många olika verksamheter. På så sätt kan man utgå från listans beskrivningar av säkerhetsåtgärderna och avgöra vilka som passar den egna organisationen. 2. Utifrån riskanalys: Riskanalysen ger en bild av verksamhetens informationstillgångar och skyddsbehov. Med hjälp av den kan man skräddarsy säkerhetsåtgärder som passar verksamhetens specifika behov. Då används alltså inte listan med säkerhetsåtgärder i standarden 27002. Problemet med den första metoden är att standardens lista på säkerhetsåtgärder inte passar alla verksamheter i praktiken. För vissa verksamheter saknas viktiga åtgärder medan listan innehåller åtgärder som är onödiga för andra och som i de fallen kostar mer än vad de gör nytta. Den andra metoden, när man utgår från riskanalysen, kräver att man lyckas identifiera alla viktiga informationstillgångar och alla relevanta hot och risker, samt att man själv kan ta fram relevanta säkerhetsåtgärder som svar på dessa. Erfarenheten visar att detta ofta är svårt. Det bästa och mest effektiva sättet är att kombinera de två metoderna (figur 2) för att få det bästa av två världar. Man drar nytta av kunskapen som är samlad på listan med säkerhetsåtgärder (i standarden 27002) och kan samtidigt beakta verksamhetens specifika situation och skyddsbehov (utifrån riskanalysen). Redogörelsen nedan beskriver den här kombinerade metoden. Kombinationsmetoden är vedertagen och krävs exempelvis av de verksamheter som vill få en oberoende certifiering av sin informationssäkerhet i enlighet med standarden 27001.

www.informationssäkerhet.se 8 Figur 2. Källor till säkerhetsåtgärder 2.2 Faktorer som påverkar valet För att välja säkerhetsåtgärder bör man främst ta ställning till 1) behovet av skydd 2) åtgärdens kostnad 3) åtgärdens förväntade effekt 4) alternativa åtgärder och investeringar. Först måste man övergripande bedöma ifall säkerhetsåtgärden behövs eller inte, men utan att göra någon prioritering. Det kan dröja innan en vald säkerhetsåtgärd är införd; på den tiden kan mycket hända och det finns många faktorer som påverkar hur åtgärden fungerar i praktiken. Det som såg ut att vara en lysande idé kan visa sig fungera dåligt, och tvärtom. Därför börjar man med att bestämma att en säkerhetsåtgärd ska införas inte hur den ska införas. Troligen finns det dock redan idéer om hur åtgärden bör vara utformad. 2.3 Välj säkerhetsåtgärder Både riskanalysen och gapanalysen pekar på säkerhetsåtgärder som verksamheten kan välja att införa. En bra utgångspunkt är att först titta på de säkerhetsåtgärder som gapanalysen efterfrågade, och som följer 27002 (best practice): Vilka av dessa åtgärder finns redan på plats? Med tanke på analysresultaten vilka åtgärder bör finnas på plats?

www.informationssäkerhet.se 9 Det går att välja säkerhetsåtgärder genom att helt enkelt kryssa för eller lista de säkerhetsåtgärder som man vill ha med i sitt ledningssystem. Därefter kompletterar man listan med de säkerhetsåtgärder som kommer direkt från riskanalysen, ifall de inte redan finns beskrivna i 27002. 2.4 Analysera konsekvenserna Det är viktigt att beskriva den positiva och negativa påverkan som en säkerhetsåtgärd har eftersom det då blir lättare för ledningen att förstå konsekvenserna. Detta bör beskrivas på samma ställe som valet av säkerhetsåtgärder, och med hjälp av ledorden nedan. Figur 3. Ledord för konsekvensanalys Hur påverkas servicenivån (positivt och negativt)? Hur påverkas arbetsbelastningen? Behövs någon ny kompetens? Vad kostar det att införa säkerhetsåtgärden? Blir det en besparing? Tänk på att det finns indirekta kostnader som är viktiga att ta upp. Hur påverkas organisationen? Behövs nya arbetsgrupper eller måste arbetssättet anpassas? Finns det processer i verksamheten som måste ritas om? Detta diskuteras senare i dokumentet Utforma säkerhetsprocesser. Hur påverkas våra kunder positivt och negativt av säkerhetsåtgärden? Konsekvensanalysen kan gälla en enskild säkerhetsåtgärd, en grupp av säkerhetsåtgärder, eller alla säkerhetsåtgärder tillsammans.

www.informationssäkerhet.se 10 2.5 Förankra valet av säkerhetsåtgärder Det är viktigt att förankra de valda säkerhetsåtgärderna i verksamhetens olika delar. Detta för att undvika negativa dialoger inför beslutet. Information kan skickas ut för remiss eller så kan de som påverkas av säkerhetsåtgärderna bjudas in till ett möte. Det är viktigt att förankra åtgärderna i både den formella och den informella ledningsstrukturen. Det kan även vara bra att få fackföreningarnas syn på de valda åtgärderna, speciellt om åtgärderna innefattar loggning och övervakning av medarbetare.

www.informationssäkerhet.se 11 3. Dokumentera valet 3.1 Syfte med dokumentation Valet av säkerhetsåtgärder ska dokumenteras noga. För det första är dokumentationen ett viktigt underlag när säkerhetsåtgärden ska utformas och införas. För det andra är dokumentationen viktig när organisationen kommunicerar med andra parter om informationssäkerhetens upplägg, till exempel vid olika revisioner. En certifieringsrevision mot 27001 kräver bland annat att man har denna typ av dokumentation. 3.2 Olika dokumentationssätt Det finns tre huvudsakliga sätt att dokumentera valet av säkerhetsåtgärder: 1. Markera valet direkt i gapanalysens dokumentation. 2. Beskriv valet i separat dokument. 3. Ange kort att man inför samtliga åtgärder som föreslås i 27002 (det är ovanligt). 3.3 Dokumentationens innehåll Dokumentationen för varje säkerhetsåtgärd bör innehålla: Namn: Åtgärdens benämning Ansvar: Vilken person eller funktion som är ansvarig för den Motiv: Varför åtgärden behövs (eller varför den valts bort) Påverkan: Positiva och negativa effekter av åtgärden En del organisationer vill att ledningssystemet för informationssäkerhet ska vara certifierbart mot ISO/IEC 27001. Då måste valet av säkerhetsåtgärder dokumenteras i en tabell eller lista med en förklaring till varför vissa åtgärder har valts, valts bort eller lagts till, med utgångspunkt i standarden 27002:s föreslagna säkerhetsåtgärder. Denna information kallas i certifieringssammanhang för Uttalande om tillämplighet.

www.informationssäkerhet.se 12 4. Nästa steg När säkerhetsåtgärderna är valda är det dags att utforma de säkerhetsprocesser som följer av valet.

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss