HUR GENOMFÖR MAN EN SÄKERHETSANALYS. Thomas Kårgren

Relevanta dokument
VAD ÄR EN SÄKERHETSANALYS. Thomas Kårgren

Säkerhetsanalys. Agenda. Säkerhetsanalys maj 2012 Svante Barck-Holst. Säkerhetspolisen Säkerhetsskydd Säkerhetsanalys

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS,

Att skydda det mest skyddsvärda

Policy för säkerhetsskydd

Säkerhetsskydd en översikt. Thomas Palfelt

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Affärsverket svenska kraftnäts författningssamling Utgivare: chefsjurist Bertil Persson, Svenska Kraftnät, Box 1200, Sundbyberg ISSN

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Patrik Fältström Teknik- och Säkerhetsskyddschef

Säkerhetshöjande åtgärder inom VA Några exempel från Kretslopp och vatten i Göteborg

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Risk- och sårbarhetsanalys samt elberedskapsåtgärder, SvK. EI Seminarium om risk- och sårbarhetsanalys 26/11

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

KOMMUNALA STYRDOKUMENT

Fastställande av Säkerhetsskyddplan Region Östergötland

Säkerhetspolicy för Kristianstad kommun

SÄKERHETSSKYDDSAVTAL (nivå 2)

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

1. Säkerhetsskydd 2. Säkerhetsskyddad upphandling 3. Nya säkerhetsskyddslagen

Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod

HITTA KRONJUVELERNA. Charlotta Rudoff & Åsa Schwarz PAGE 2 THIS IS KNOWIT

09.05 Säkerhetspolischef Anders Thornberg Samverkansrådet Nationellt centrum för terrorhotbedömning Bensträckare 10.

Svenskt Vatten. Säkerhetshandbok för dricksvattenproducenter Bertil Johansson

Plan för extraordinära händelser Sektor Service. Beslutad av servicenämnden 3 september 2015, 50. Dnr SEN

Innehållsförteckning 1 Allmänt Organisation Säkerhetsskydd Säkerhetsskyddschefens uppgifter Säkerhetsskyddsanalys...

Polismyndigheten, ( ), Box 12256, Stockholm som företräder staten, nedan kallad Polisen

Om krisen eller kriget kommer Samhällsviktig verksamhet och nya lagar

SÄKERHETSSKYDDSAVTAL (nivå 3)

Svenska kraftnäts arbete med risk- och sårbarhetsanalys

Svenska Kraftnät VÄGLEDNING. Säkerhetsanalys

Affärsverket svenska kraftnäts föreskrifter och allmänna råd om elberedskap (SvKFS 2013:2) Anmälningsskyldighet

SÄKERHETSSKYDDSAVTAL (nivå 3)

SÄKERHETSSKYDDSAVTAL. SÄKERHETSSKYDDSAVTAL Diarienr (åberopas vid korrespondens) Polisens verksamhetsstöd Administrativa enheten Upphandlingssektionen

Hotet mot Sverige

EBITS Elförsörjningen i Cyberkriget. Långholmen november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet

Säkerhetsskyddsplan. Styrande måldokument Plan Sida 1 (10)

RIKSPOLISSTYRELSEN, ( ), Box 12256, Stockholm som företräder staten, nedan kallad Myndigheten

Förvaltningens förslag till beslut Kommunstyrelsen beslutar föreslå kommunfullmäktige att anta strategi för risk- och

Finansinspektionens författningssamling

Plan för hantering av extraordinära händelser i fredstid samt vid höjd beredskap

Fysisk säkerhet Ett exempel på processen för kontroll

Riktlinjer för informationssäkerhet

Säkerhetsskyddsplan för Piteå kommun

RSA Risk- och sårbarhetsanalys

Riktlinjer. Informationssäkerhetsklassning

Informationssäkerhet och säkerhetsskydd

Scandinavian Risk Solutions Creating Value by Protecting Assets

Angående Justitiedepartementets remiss SOU 2015:25,

Svar på regeringsuppdrag

Risk- och sårbarhetsanalys inklusive säkerhetsanalys Sandvikens kommunkoncern.

Finansinspektionens författningssamling

Plan för att förebygga och hantera extraordinära händelser. Beslutad av kommunfullmäktige 25 september 2017, 102/17, Dnr KS2017.

Försvarets materielverk (FMV) org.nr STOCKHOLM. nedan kallad Myndigheten, och

Säkerhetsskyddsplan för Luleå kommun

Informationssäkerhetspolicy för Ånge kommun

Handläggare Datum Diarienummer Thomas Hall KSN

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Policy för informationssäkerhet

Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet. (Ju 2017/07544/L4)

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Yttrande över En ny säkerhetsskyddslag (SOU 2015:25)

Mall säkerhetsskyddsavtal (nivå 2)

Säkerhetspolicy för Västerviks kommunkoncern

Föreskrifter om risk- och sårbarhetsanalyser för kommun och landsting Remiss från Myndigheten för samhällsskydd och beredskap

NIS-direktivet. 4 september Johanna Linder Martin Gynnerstedt

Anmälnings- och informationsskyldighet

Verksamhetsplan Informationssäkerhet

UPPHANDLING AV DUELLSTÄLL TILL SKJUTBANOR

Nationell Säkerhetsstrategi Totalförsvar Säkerhetsskydd

Justitiedepartementet Stockholm

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

RSA vart har det tagit oss hittills och hur kommer vi vidare?

Tal till Kungl. Krigsvetenskapsakademien

Trygg och säker - riktlinjer för kommunens säkerhetsarbete

SÄKERHETSHANDBOKEN STADSNÄTEN OCH FÖRENINGENS NÄTSÄKERHETSARBETE. Jimmy Persson Chef Utveckling & Säkerhet

Störningar i elförsörjningen

IT-säkerhetspolicy för Landstinget Sörmland

Finansinspektionens författningssamling

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

EBITS 2013 Elförsörjningen i Cyberkriget

Remissyttrande Informationssäkerhet för samhällsviktiga och digitala tjänster

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Plan för ökad civilförsvarsberedskap KS

Verksamhetsrapport. Kommunens säkerhetsarbete 2014

Ramverket för informationssäkerhet 2

Datum: SÄKERHETSSKYDDSAVTAL (nivå 3) VID SÄKERHETSSKYDDAD UPPHANDLING (SUA).

Energimyndigheten och NIS-direktivet Panndagarna Tommy Wahlman Projektledare för införande av NIS-direktivet

1(6) Informationssäkerhetspolicy. Styrdokument

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd om ledning av kommunala räddningsinsatser

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Styrels planeringsomgång

Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser;

MSB för ett säkrare samhälle i en föränderlig värld

Kartläggning av SAMHÄLLSVIKTIGA VERKSAMHETERS BEROENDE AV ELEKTRONISK KOMMUNIKATION - EN FÖRSTUDIE

Transkript:

1 HUR GENOMFÖR MAN EN SÄKERHETSANALYS Thomas Kårgren

2 Säkerhetsanalys - genomförande > Vi har gått igenom vad en säkerhetsanalys är > Författningsstyrd > En inventering och förteckning över sådant som rör rikets säkerhet eller skyddet mot terrorism > Analysprodukten i sig är ett dokument som bygger på bedömningar av olika objekt kopplade mot hot, risker, sårbarheter och möjliga konsekvenser > En av de viktigaste sakerna med säkerhetsanalysen är utformningen av åtgärder, säkerhetshöjande åtgärder och säkerhetsskyddsåtgärder

Hur ska man????? > Var börjar man? > Vilka saker ska göras? > I vilken ordning ska de göras? > Vilka behöver delta? > Hur dokumenterar vi? > Vad gör vi sedan?

Var börjar man? Det första som måste göras är att definiera VAD det är som säkerhetsanalysen ska göras för. En mindre verksamhet kan kanske göra säkerhetsanalys för hela verksamheten i ett slag men för större organisationer och verksamheter är detta inte görbart och bör därför delas upp i mindre delar. Därmed inte sagt att en mindre organisation inte ska dela upp arbetet med säkerhetsanalys på flera olika objekt, anpassning till hur verkligheten ser ut måste alltid ske! Nyckelord: [Geografisk spridning] [Kraftigt varierade verksamhetsområden] [Stora skillnader i tekniska eller fysiska utföranden] [Ansvarsförhållanden]

Var börjar man? När man definierat VAD det är som säkerhetsanalysen ska göras för så måste några förutsättningar kontrolleras. > Har det genomförts hot-, risk- och sårbarhetsanalys som täcker det VAD som man definierat för säkerhetsanalysen? > Vad är status på analysen? (aktualitet, omfattning etc.) > Tillgänglighet och användbarhet! Är analysen tillgänglig för de som ska genomföra säkerhetsanalysen och är den dokumenterad på ett sätt som gör att den kan användas inom ramen för säkerhetsanalysen?

Vilka behöver delta? Personer som bör engageras inom ramen för arbetet med säkerhetsanalysen. Nyckelord: [VERKSAMHETSKUNSKAP] [SÄKERHETSKOMPETENS] Klassiska fällor! Inskränkning i deltagande med hänvisning till konfidentialitet! Hemmablindhet! (rädsla eller oförmåga att vidga vyerna)

Vilka saker ska göras? > Identifiera grupper av objekt (oavsett art och karaktär) som interagerar och beror av varandra på ett sådant sätt att de kan räknas som en samverkande enhet. Sådan grupper kan littereras för att kunna användas som ingående objekt i analysen. 3 1 2 4 A20-15/274242-1#GB37

Vilka saker ska göras? > Bedömning av hur objektgruppens betydelse står sig kopplat mot rikets säkerhet eller skyddet mot terrorism > Hot, risker och sårbarheter som finns dokumenterade > Brainstorming med stöd av tillgänglig information > Dokumentera utfall/beslut om huruvida objektgruppen berörs eller ej samt varför

Vilka saker ska göras? Hur gör jag avdömningen kriterier!? > Påverkas ett större antal människors liv och hälsa? > Påverkas ett större geografiskt område? Är denna påverkan långvarig och/eller inträffar den vid en olämplig tidpunkt? > Får händelsen allvarliga sociala, ekonomiska och/eller politiska konsekvenser för samhället?. > Påverkas andra samhällsviktiga verksamheter allvarligt? > Finns det risk att allvarliga negativa konsekvenser uppstår i framtiden?

Vilka saker ska göras? Hur gör jag avdömningen kriterier!? Elakhatten på! 1 Påverkar ett upptagningsområde med mer än 50 000 personer 3 B4 eller B3 anläggning Uppgifter 2 Medför ett totalt avbrott som överstiger 2 dygn Verksamhet KONSEKVENSER! Anläggning System

Vilka saker ska göras? Det paradoxala i bedömningarna! > Många objekt kommer att omfattas av säkerhetsskydd enligt kriterier och bedömningar > Åtgärder kan göra så att objekt faller utanför säkerhetsskyddet som följd av de effekter åtgärder medför, i.e. säkerhetsnivån är så pass hög så att avsedd händelse inte längre kan inträffa eller påverka objektet på tidigare identifierat sätt > Vikten av noga och väl utformade och genomförda åtgärdsplaner kan inte nog understrykas!

Vilka saker ska göras? Det paradoxala i bedömningarna - exempel Tillförd redundans medför att funktionen som sådan inte längre omfattas Reservkraft Driftcentral Reservkraft

I vilken ordning ska saker göras Formell betydelse och mening > VAD!? [OBJEKTET] Hitta lämpliga organisationsdelar i lämplig storlek och eller utformning > HOTBILD! Riskanalys, vilka hot, risker och sårbarheter finns eller kan finnas som kan påverka OBJEKTET > BEDÖMNING! Använd tillgängliga kriterier för att bedöma tillämpligheten > DOKUMENTERA! Säkerhetsanalys är i sin enklaste form en tabell

Hur dokumenterar vi Nyckelord som beskriver framgångsfaktorer inom säkerhetsanalys > Enkelhet (skippa de milslånga inledningarna) > Tydlighet (bilder är utmärkta hjälpmedel när man definierar objekt) > Definiera/Definitioner (se till att alla uttryck är kända och begripliga) > Förankrad (om man refererar till företagets klassificering, säkerställ att den är gällande)

Hur dokumenterar vi Kom ihåg tabellen! Kärnan i analysen ID OBJEKT BEDÖMNING FTG KLASS SA15-1-01 VKV-BECKFORS Verket kan om det utsätts för mekaniskt/elektriskt eller cyber angrepp möjligen orsaka kaskaderande effekter i nätet som i värsta fall kan påverka hela regionen. Verket och tillämplig berörd information bedöms behöva skyddas mot terrorism. K2 Information FS2 Fysiskt skydd SA15-1-02 SC/DC-SLÖBERG Det går inte att utesluta att centralen skulle kunna utnyttjas för ett elektroniskt cyberangrepp på ovanliggande styr-infrastruktur som tillhör VAFAON och på det viset påverka elförsörjningen i riket. Centralen bedöms röra rikets säkerhet. K1 Information FS1 Fysiskt skydd

Vad gör vi sedan Några viktiga saker att komma ihåg! Innehållet i analysen är oftast skyddsvärt! Det är dock av yttersta vikt att de som behöver ha tillgång till informationen i analysen för att kunna utföra ålagda uppgifter får det. Skyddet ska hålla OBEHÖRIGA borta från innehållet! Analysen ska utgöra grunden för utformning av åtgärder! En åtgärdsplan ska, om det inte är uppenbarligen obehövligt, upprättas. Säkerhetsanalys H

Vad gör vi sedan Åtgärdsplanering och utförande Huvudsaken är att åtgärdsplanen är utförd så att det finns tydliga aktiviteter, ansvar och tidplaner för åtgärder. Tabellformat fungerar utmärkt. Exempel på några kolumnrubriker: > ID En litterering som gör att aktiviteterna lätt kan identifieras > AKTIVITET Ska ge svar på frågan; Vad ska göras? > ANSVARIG Vem äger aktiviteten och ser till att den utförs? > TIDPLAN När ska aktiviteten, eller delaktiviteterna, vara klar(a)

Vad gör vi sedan Uppföljning och revision Säkerhetsanalysen är ingen produkt som blir färdig och arkiveras! > Uppföljning kan behöva ske som följd av förändrad hotbild eller förändringar i verksamheten. > SvkFS 2013:1 1 Den säkerhetsanalys som ska genomföras enligt 5 säkerhetsskyddsförordningen ska göras minst en gång vartannat år. Resultatet av analysen ska dokumenteras. Svenska Kraftnät ska på anmodan delges resultat av sådan analys.

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss