Säkerhetsgranskning

Relevanta dokument
Målgrupper för Sambi ... Privata omsorgsgivare Apoteksaktörer. Kommuner. Veterinärer Landsting. Tandläkare Privata vårdgivare.

BILAGA 3 Tillitsramverk

BILAGA 3 Tillitsramverk Version: 2.02

Lennart Beckmanä Beckman Security.

Sambis tillitsarbete Staffan Hagnell, Internetstiftelsen

Lennart Beckmanä Beckman Security.

Introduktion. September 2018

Version: Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 1.3.1

BILAGA 3 Tillitsramverk Version: 2.1

Lennart Beckmanä Beckman Security.

Version: 2.0 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.01

BILAGA 3 Tillitsramverk Version: 1.3

BILAGA 1 Definitioner

Sambi och Sambis roll Håkan Josefsson Service Manager, Apotekens Service AB

Tillitsdeklaration Version: 2.1 Ska användas vid tillitsdeklaration enligt Sambi Tillitsramverk version 2.1

E-legitimationsdagen

Regionalt samarbete. Tillit Federativ lösning för identitets och behörighetshantering

Ledningssystem för Informationssäkerhet

Granskningsinstruktion och checklista för Tillitsdeklaration

ehälsomyndighetens nya säkerhetslösning

Frågor och svar. Frågor kring åtkomstlösning

Riktlinjer för informationssäkerhet

Ledningssystem för Informationssäkerhet

Agenda Bakgrunden till Sambi Vad Sambi är Krav som ställs på medlemmarna Erfarenheter från pågående arbeten

BILAGA 1 Definitioner Version: 2.02

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

BILAGA 3 Tillitsramverk Version: 1.2

BILAGA 4 - Fo reskrifter fo r Sambis Federationsoperato r

Riktlinjer för informationssäkerhet

ISO/IEC och Nyheter

Granskningsinstruktioner och checklista för Tillitsgranskare

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

BILAGA 1 Definitioner Version: 2.01

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Tillitsramverk och granskning April 2014

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

BILAGA 1 Definitioner

BILAGA 4 - Fö reskrifter fö r Sambis Federatiönsöperatö r Versiön: 2.0.1

Välkommen som Sambi-kund!

ehälsomyndighetens nya åtkomstlösning och Sambi

ehälsomyndighetens nya säkerhetslösning

Informationssäkerhetspolicy inom Stockholms läns landsting

Bilaga 3 Säkerhet Dnr: /

Koncernkontoret Enheten för säkerhet och intern miljöledning

Sammansta llning av remissvar och rekommendation till nytt Tillitsramverk fo r Sambi

ehälsomyndighetens nya åtkomstlösning och Sambi

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

Informationsklassning och systemsäkerhetsanalys en guide

Myndigheten för samhällsskydd och beredskaps författningssamling

ehälsomyndighetens nya säkerhetskrav

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Anslutningsavtal för medlemskap i Sambi

Informationssäkerhetspolicy för Ystads kommun F 17:01

TJÄNSTEBESKRIVNING FÖR SAMBIS TILLITSGRANSKNINGSTJÄNST

Tillitsgranskningsavtal

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Anslutningsavtal för medlemskap i Sambi

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Visionen om en Tjänstekatalog

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Ledning och styrning av IT-tjänster och informationssäkerhet

Informationssäkerhetspolicy för Ånge kommun

Sambiombudsavtal. 1 Inledning

Myndigheten för samhällsskydd och beredskaps författningssamling

TJÄNSTEBESKRIVNING FÖR SAMBIS FEDERATIONSTJÄNST

Informationssäkerhetspolicy. Linköpings kommun

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Riskanalys och riskhantering

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Tillitsgranskningsavtal

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Pratpunkter. Siths och Efos godkänd som Svensk e-legitimation Sambi Förtida utbyte av kort Prisbild för Efos.

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

ehälsomyndigheten Kristina Fridensköld & Stephen Dorch

Göran Engblom IT-chef

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Tillitsramverket. Detta är Inera-federationens tillitsramverk.

Vetenskapsrådets informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Varför Sambi, för vad och vem, samexistens med andra lösningar, svensk e-leg, SITHS, HSA, Skolfederation et cetera (Ulf Palmgren, SKL, CeSam)

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Administrativ säkerhet

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Ledningssystem för IT-tjänster

Välkommen till enkäten!

Informationssäkerhetspolicy KS/2018:260

Riktlinjer för IT-säkerhet i Halmstads kommun

Huddinge kommun - första godkända utfärdare med kvalitetsmärket Svensk e- legitimation.

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Internetstiftelsen i Sverige.

IT-Säkerhetsinstruktion: Förvaltning

Transkript:

Säkerhetsgranskning 15-04-17 1

Utbildning i Sambis säkerhetsgranskning 15-04-17 2

Lärare Max Korkkinen, Knowit Lennart Beckman, Beckman Security 3

Syfte denna kurs Riktad till sökande som ska göra en tillitsgranskning. Hur uppfylla säkerhetskraven Underlätta för att upprätta tillitsdeklaration 4

Syfte Sambi En identitetsfederation är en sammanslutning av organisationer som har kommit överens om att lita på varandras elektroniska identiteter för att underlätta användarnas åtkomst till elektroniska tjänster samtidigt som den personliga integriteten skyddas. 5

Syfte - Medlemmarna Samverkan för behörighet och identitet inom hälsa, vård och omsorg = Hela hälsa-, vård- och omsorgssektorn. 4 departement, 20 statliga myndigheter och 20 forskningsinstitutioner 21 landsting 291 kommuner 1284 apoteksaktörer med ca 11000 anställda 1 933 tandläkarmottagningar med 25629 anställda 15000 privata vård- och omsorgsgivare med ca 100000 anställda 1000-tals offentliga vård- och omsorgsgivare 1185 företag med veterinärverksamhet med 3450 veterinärer Övriga privata leverantörer till sektorn, exempel färdtjänst, förbrukningsvaror, journalsystem, läkemedel, etc. Patienter, exempel: diabetes appar för barn Invånare 6

Syfte - Leveransen 1. En infrastrukturlösning för säker åtkomst 2. Skydd av identiteter, behörigheter och personliga integriteten 3. Följer legala krav 4. Ersätter separata lösningar 5. Bas för etjänster 6. Forum för samverkan, kunskapsutveckling, erfarenhetsutbyte 7

Användning av Sambi och roller Användare E-leg Identitetsintygsutgivare Attribut Intyg E-tjänst Elektronisk identitetsutfärdare Tjänsteleverantör E-leg Tjänsteleverantör Användarorganisation Attributsutgivare 8

Användning av Sambi och roller Användare E-leg Identitetsintygsutgivare Attribut Intyg E-tjänst Elektronisk identitetsutfärdare Tjänsteleverantör E-leg Attributsutgivare 9 Medlem

Tillit Federationen skall fungera som en nationell mötesplats för säkra e-tjänster genom en lösning som bygger på tillit och skydd för den personliga integriteten 10

Tillit Vi kan ha tillit till någon utan att ha fullständig information om denna Inte bara en tro på människors goda avsikter, utan en välgrundad tro att vissa principer är uppfyllda 11

Syfte med granskning Syftet med granskning och godkännande Ge förlitande parter en försäkran om att vissa principer är uppfyllda utan att alla behöver ha direkt insyn 12

Ömsesidig tillit Tjänsteleverantör ska kunna ha tillit till att både Identiteter och Attribut i utfärdade intyg är korrekta, utan att behöva ha djupare insikt i Användarorganisationen Användarorganisation ska kunna ha tillit till att Tjänsteleverantör hanterar känsliga uppgifter och tillhandahåller Tjänsten korrekt, utan att behöva ha en djupare insikt i denna 13

Avgränsning, scope Avgränsa, definiera a) Underlättar för alla att veta uppdragets gränser b) Ansvarsgränserna blir tydligare c) Målet blir tydligare Viktigt a) För användarorganisation identifiera hur identitet utfärdas, hur attribut skapas/underhålls/avvecklas, hur intyg skapas b) För tjänsteleverantörsorganisation identifiera hur tjänsten beställs/förvaltas/levereras 14

Informationssäkerhet krav Informationssäkerheten ska vara anpassad efter verkliga behov Hot Sårbarheter Säkerhetsbehov Anpassad säkerhet 15

Anpassad säkerhet Säkerhetskraven anges inte i detalj Kravet är att ta reda på vad som behövs, göra det och kunna visa att det är gjort 16

Kedja Riskanalys - det här behövs Strukturerat regelverk - så här ska vi göra Intern kontroll - gör vi det vi ska? 17

Riskanalys Identifiera hot och prioritera vilka risker som är störst 18

Strukturerat regelverk För tjänsten i fråga: Krav på säkerhetsåtgärder som hanterar riskerna Följ ISO/IEC 27001 En lättanvänd standard Innehåller alla tänkbara åtgärder Välj de som är relevanta 19

Intern kontroll Internrevision Visa att regelverket hanterar riskerna Visa att regelverket är känt Visa att regelverket följs 20

Paus 5min 21

Hur gör man? 8 punkter 1. Definiera tjänsten som avses i ansökan till Sambi 2. Dokumentera organisationen (rapporteringsvägar, ansvariga och ansvar) som styr tjänsten 3. Meddela Sambi vem som är avtalsansvarig och kontaktpersoner mot Sambi 4. Dokumentera alla informationssäkerhetsregler som styr tjänsten, följ ISO 27001 5. Gör en riskanalys för att checka om säkerhetsåtgärderna räcker, använd hot- och sårbarhetskatalogen som inspiration 6. Uppdatera, och dokumentera, säkerhetsåtgärderna där det behövs enligt resultatet från riskanalysen 7. Gör internrevision för att kontrollera kvalitén på implementationen av säkerhetsåtgärderna för tjänsten och att de följer standarden 8. Fyll i och skicka in tillitsdeklarationen till Sambi. 22

Omfattning Önskar uppnå a) Alla intressenter pratar om samma tjänst = leveransen b) Alla pratar om samma innehåll i tjänsten c) Alla pratar om samma resurser för att utföra tjänsten Viktigt för tilliten Definiera omfattningen av tjänsten som avses i ansökan till Sambi, diskutera organisation, om underleverantörer, mm Avgränsa: beskriv scoopet för LIS, vilka funktioner, vilka processer, vilka organisationer, vilka underleverantörer 23

Definiera tjänsten & ansvaret Fasta attribut, Tjänstekatalog Förhandlingsbara attribut, Service Level Agreement (SLA) Beskrivande komponenter Levererande komponenter Avtalskomponenter Tjänstens namn Servicetider Identifierade parter (support, användning) Tjänstens Syfte Ägandeskap Tillgänglighet Supportnivå Requests/förändringar/avbokningar Tjänstegranskningar Målgrupp Rapportering Funktionalitet Konfiguration Etc. Undantag Förmåga Säkerhet Kompetens Processer Hantering av överenskomna tjänsteavbrott (både från leverantör och kund) Åtgärder då kund ej går att nå (eskalering) 24

Definiera organisationen Välfungerande organisation med definierade roller och ansvar och att alla är medvetna om sina roller och sitt ansvar levererar snabbare och tydligare beslut saker och ting blir gjorda beslut blir faktabaserat Dokumentera organisation Roller skall beskrivas med arbetsuppgifter, ansvar och befogenheter Rollerna ska namnges eller där rollen saknar en befattningshavare, anges som obesatt Beskriv kopplingen mellan rollerna (styr och rapporteringsvägarna) 25

Kontaktperson Dialog, stöd och kvalitetssäkring Intressenterna behöver veta vem som handhar kontakterna Utpekade personer får ställa frågor genom dialogen Ansökningsarbetet kan komma igång tidigt med stöd Utse kontaktpersoner Utse inom organisationen avtalsansvarig och kontaktpersoner mot Sambi. Dokumentera vilket ansvar och befogenheter som hör till kontaktpersonens arbetsuppgifter med Sambi 26

Befintlig informationssäkerhet Samla alla säkerhetsinstruktioner och regler som berör tjänsten Strukturera dem enligt standarden 27

Standarden ISO/IEC 27001 Regelverk för styrning av informationssäkerhet Information Security Management System, ISMS Ett sätt att ha kontroll över informationssäkerhet 28

Struktur Ofta hierarkiskt uppbyggt Policy Riktlinjer Vad Instruktioner, processer, SOP:ar Hur 29

27001 Praktiskt användbar Heltäckande Välj enbart det som behövs (styrs av riskanalysen) 30

Innehåll 27001 1. Informationssäkerhetspolicy 2. Organisation 3. Personalsäkerhet 4. Hantering av tillgångar 5. Styrning av åtkomst 6. Kryptering 7. Fysisk säkerhet 8. Driftsäkerhet 9. Kommunikationssäkerhet 10. Anskaffning, utveckling och underhåll av system 11. Leverantörsrelationer 12. Hantering av incidenter 13. Kontinuitet 14. Efterlevnad 31

Exempel ur standarden 32

Exempel på regelverk Hantering av tillgångar Informationsklassificering Riktlinje: All information ska vara klassificerad med avseende på sekretess. Instruktion: Ansvarig för informationsklassificering är informationsägaren. Om inget annat sägs är den som skapat informationen också ägare. Information klassificeras enligt: Om in annat anges klassificeras information som Intern. 33

Riskanalys Gör en riskanalys för tjänsten, använd hotkatalogen som inspiration 34

Riskanalys Identifiera Tillgångar Hot Sårbarheter Gäller enbart för tjänsten i fråga 35

Riskanalys Bedöm Sannolikhet Konsekvens Ger Prioritering av risker 36

Hot och sårbarheter Hur få med alla relevanta hot? Kreativt arbete, gärna workshop Utgå från hotkatalogen, använd som inspiration 37

Hotkatalog, exempel 5.2.8. Driftsäkerhet Attacker på fysisk infrastruktur Avsaknad av eller felaktiga rutiner för att underhålla skydd mot skadlig kod Avsaknad av eller felaktiga rutiner för hantering av larm och akuta händelser Destruktion av journaler Felaktiga rutiner för kontroll av spårdata och loggar Förlust av el Förlust av stödtjänster Fel på utrustning Missbruk av releaseverktyg Obehörig användning av programvara Obehörig installation av programvara 38

Sannolikhet och konsekvens Bedöm sannolikheter och konsekvenser. Workshop. Exempel: fyrgradig skala Mycket osannolikt (<1 / 10 år) Osannolikt (<1 / år) Sannolikt (>1 / år) Mycket sannolikt (>10 / år) Motsvarande för konsekvens 39

Beräkna risk Beräkna risk (exempel) Risk = Sannolikhet * Konsekvens alternativt Risk = ½ (Sannolikhet + Konsekvens) 40

Exempel Tillgång Hot Sannolikhet Konsekvens Risk Databas Intrång, externt 1 3 1,5 Korrupt data 2 3 2,5 41

Riskprioritering Konsekvens 4 3 X X 2 1 1 2 3 4 Sannolikhet 42

Uppdatera säkerhetsregelverket Uppdatera och dokumentera informationssäkerhetsregelverket enligt riskanalysen 43

Uppdatera säkerhetsregelverket Välj enbart ut de krav ur standarden som behövs. Kriterier: Hög risk Legala krav Best practice 44

Uppdatera säkerhetsregelverket Uppdatera regelverket på ovanstående punkter Behövs bara för tjänsten ifråga. 45

Paus 5 min 46

Internkontroll Gör en internrevision för att kontrollera kvalitén på implementationen av säkerhetsåtgärderna för tjänsten 47

Internrevision Din bästa vän att nå kvalité Anpassningsbart och snabbt Verifierar att säkerhetsåtgärderna är effektiva Fler ögon ser förbättringsmöjligheten Checka och ge återkoppling Läs regler, loggar och rapporter, lyssna på intressenterna och jämför med hur de borde vara Prata med medarbetare och chefer: jämför med vad du vill höra Sammanfatta i en rapport: ge beröm för sådant som fungerar och lista förbättringspotentialen 48

Åtgärdsplan Efter internrevision följer åtgärdsplan för att förbättra säkerhetsåtgärderna för tjänsten 49

Tillitsdeklarationen Säkerställ att Sambis tillitsramverk uppfylls Fyll i Excel mallen observera flikarna 50

Tillitsdeklarationen Var tydlig med vad din tillitsdeklaration omfattar Berörs? Vem? 51

Tillitsdeklarationen Full i ditt svar på hur kravet uppfylls Bilagor Checka Godkännande 52

Tillitsdeklarationen Skicka in tillitsdeklarationen till Sambi Överenskom om medlemsavtalet 53

Granskning och roller Tjänsteleverantör e-legitimationsnämnden Sambi Elektronisk identitetsutfärdare 54 Identitetsintygsutgivare Attributsutgivare

Tillitsdeklarationen Hur går granskningen till Granskningsprocessen: Streckade rutor indikerar ett moment som kan förekomma 55

Sammanfattning Avgränsa arbetet till det ansökan avser Användarorganisation etjänsteleverantör Dokumentera tjänstens organisation och regler Riskanalysen sätter säkerhetsåtgärdernas nivå Komplettera regler vid behov Uppföljning checkar implementation Tillitsdeklarera och visa upp att federationen kan lita på din tjänst. 56