Dokumenttyp Riskanalys Område DNSSEC2012. DNSSEC 2012 RISKANALYS Version 0.1. Västervik Ort och datum. Stephen Dorch Analysledare

Relevanta dokument
kirei Kvalitetsgranskning DNSSEC Rapport Regionförbundet i Kalmar län Kirei 2012:13 10 januari 2013

Västkom. Göteborg 18 november Del 1 av 2. Stephen Dorch, ISMP

DNSSEC. Slutrapport. Kalmar läns kommuner Kalmar län, det grönaste länet!

Riktlinjer. Informationssäkerhetsklassning

Projekt Informationssäkerhet

Slutrapport för projekt finansierat av anslag 2:4 Krisberedskap avseende 2012

Rapport Kalmar Län 2013 Interlan Gefle AB Filialkontor

Förslag till verksamhetsplan 2014 för informationssäkerhetsarbete

1 Risk- och sårbarhetsanalys

Riktlinjer Projektmodell fo r Kungä lvs kommun

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Projektplan ansökan om medel

Informationssäkerhetsprojektet

Rutiner för säker roll och behörighet SLUTRAPPORT Version 1,0. Kalmar, Sakkunnig, Stephen Dorch. Projektledare, Ulrika Adolfsson

Rapport Riskanalys Acano videokonferenssystem

Ramverk för projekt och uppdrag

Revisionsrapport. IT-revision Solna Stad ecompanion

Förslag till Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser

Ansvarig organisation: Ekonomiskt ansvarig (verksamhetschef eller motsvarande): Förnamn och efternamn. Projektuppgifter: Projekt- och verksamhetsnamn:

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA

IT-säkerhetspolicy för Landstinget Sörmland

En gemensam riskhanteringsprocess

Ekonomisk ansvarig (verksamhetschef eller motsvarande som har ekonomiskt ansvar för projektet) Förnamn och efternamn

Idrottsnämndens system för internkontroll

Projektdirektiv för Samordnad vårdplanering på distans fortsatt införande i Örebro län

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Plan för riskhantering

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Grunduppgifter om den allmänna nyhetstidningen som ansökan avser

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Riskanalys till miljönämndens internkontroll Miljökontoret. Rapport

Konsekvensutredning för föreskrift om kommuners och Bandstings risk- och sårbarhetsanalyser

Informationssäkerhetspolicy

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Ekonomisk ansvarig (verksamhetschef eller motsvarande som har ekonomiskt ansvar för projektet) Förnamn och efternamn

RISKANALYS. Risker Riskberäkning Åtgärder Ansvarig Interna risker Sannolikhet Konsekvens Riskvärde

System för intern kontroll Spånga-Tensta Stadsdelsnämnd

Utlysning: Digitala möten i offentlig verksamhet

FÖRFATTNINGSSAMLING BESLUT GÄLLER FR FLIK SID Ks 69/ Ks14 1

Intern kontrollplan och riskbedömning. Riktlinjer Fastställda i Kommunstyrelsen

Myndigheten för samhällsskydd och beredskaps föreskrifter om kommuners och landstings risk- och sårbarhetsanalyser;

Myndigheten för samhällsskydd och beredskaps författningssamling

RF, AB, SK 4 Tid FIM Tid 01-jul Frigör från övrigt utvecklingsabete ÅJ 4 Regelverk (Hårda regler, Inga quick fixes, Tid för synk

Ekonomisk ansvarig (verksamhetschef eller motsvarande som har ekonomiskt ansvar för projektet) Förnamn och efternamn

BILAGA 5 - Fö reskrifter fö r Sambiömbud Versiön: 1.0.1

Projektplan för att ta fram åtgärdsprogram för blå- och grönstrukturen

Trygghet, service och delaktighet i hemmet genom digital teknik SLUTRAPPORT Version 1

Hälsoläget i.se Anne-Marie Eklund Löwinder kvalitets- och säkerhetschef

Frågor att ställa om IK

FSPOS & SOES - Beskrivning för att tydliggöra gränsdragning

Kompletteringsuppgift: Verksamhetsanalys och riskanalys

Dela läslust projektplan

Vägledning för kommunens utbildnings- och övningsplan

Bilaga Från standard till komponent

Riktlinjer för informationssäkerhet

Riskanalys. till miljönämndens egenkontroll. Miljökontoret. Rapport

REGEL FÖR KRISHANTERING

Intern kontroll - plan för 2017

Kommunernas krisberedskap - uppföljningsprocessen

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Reglemente för intern kontroll samt riktlinjer för intern kontroll

Information och kriskommunikation

Förenklad rapportering av regionernas riskoch sårbarhetsanalys 2019

Konsekvensutredning för föreskrift om kommuners och landstings risk- och sårbarhetsanalyser

Myndigheten för samhällsskydd och beredskaps författningssamling

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

AVTAL FÖR MEDLEMSKAP I SKOLFEDERATION. För Användarorganisation

RUTIN FÖR RISKANALYS

Att delta i en lokal ISF

Riktlinjer för intern kontroll

System för intern kontroll Hässelby-Vällingby stadsdelsförvaltning

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Frågor i ansökan om utvecklingsstöd

earkiv Kalmar län PROJEKTPLAN Version 1.0 Beställare Styrgruppens ordförande Projektledare Dokumenttyp Projektplan Område Projekt

Riktlinjer informationssäkerhetsklassning

Plan. för hantering av samhällsstörningar och extraordinära händelser Beslutat av: Kommunfullmäktige. Beslutandedatum:

Riktlinjer för intern kontroll

Riskanalys och riskhantering

Uppföljning av Barn- och utbildningsnämndens internkontrollplan 2017 Dnr BUN16/

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Metodstöd 2

Välkommen till Projektledning i praktiken Hur hanterar vi projekt?

Stadsledningskontorets system för intern kontroll

Anvisningar för användning av statlig ersättning för landstingens arbete med krisberedskap och civilt försvar

Kartläggning av SAMHÄLLSVIKTIGA VERKSAMHETERS BEROENDE AV ELEKTRONISK KOMMUNIKATION - EN FÖRSTUDIE

1 KOMMERSIELLA VILLKOR (utkast till beställning/avtal)

RISKHANTERING FÖR SCADA

Kort om e-avrop. Avtal. Beställning. Checklista

DNSSEC hos.se. Anne-Marie Eklund Löwinder

Risk- och sårbarhetsanalys vid byggprojekt, svar på skriftlig fråga

ANSÖKAN OM INVESTERINGSMEDEL FÖR KLIMATÅTGÄRDER

Nationell studentrekrytering

Tal till Kungl. Krigsvetenskapsakademien

Hantera projekt med bidrag. Rotary Foundation seminarium Hans Johansson &12

Strategi för förstärkningsresurser

Konsekvensbedömning?

Välkommen till kurs för Tävlingsledning och Tävlingskontrollanter m.fl.

Uppgift 1. Beskriv de tre största vinsterna med att kunna utbyta och använda geografisk information i hanteringen av en samhällsstörning

Revisionsrapport Borgholms kommun Caroline Liljebjörn 1 juni 2016

Transkript:

DNSSEC2012 DNSSEC 2012 RISKANALYS Version 0.1 Västervik 2012 05 02 Ort och datum Stephen Dorch Analysledare

Innehållsförteckning 1 Bakgrund 3 2 Omfattning 3 2.1 Deltagande kommuner i analysen... 3 2.2 Avgränsningar... 3 3 Inledning och genomförande 3 3.1 Definitioner... 3 3.2 Krav... 4 3.3 Definition av sannolikhet och konsekvens... 4 4 Resultat 5 4.1 Kritiska - 6 st... 5 4.2 Allvarliga 2 st... 5 4.3 Betydande - 6 st... 6 4.4 Stora - 2 st... 6 4.5 Mindre - 2 st... 6 4.6 Försumbara - 2 st... 6 5 Protokoll riskanalys 7 Stephen Dorch 0480-448343 2012-01-13 1.0 2 (9)

1 Bakgrund Kommunerna i Kalmar län har fått utvecklingsmedel ur 2:4 krisberedskap för införande av DNSSSEC för samtliga kommuners huvuddomän. Se projektspec för ytterligare information. 2 Omfattning 2.1 Deltagande kommuner i analysen Analysen genomfördes som en aktivitet under ett ordinarie projektmöte. Medverkande på analysen IT-säkerhetstekniker från Oskarshamn, Mönsterås, Hultsfred och Vimmerby kommun. Analysen leds av Stephen Dorch, Informationssäkerhetsamordnare på regionförbundet och projektledare för DNSSEC projektet. 2.2 Avgränsningar Analysen omfattar endast kommunerna i Kalmar län då endast kommunerna omfattas av projektet. Anledningen är att utvecklingsmedel 2:4 krisberedskap är riktade till kommunernas. Därför avgränsas analysen till att inte omfatta landstinget, regionförbundet eller privata utförare. 3 Inledning och genomförande Analysledaren ger deltagarna en kort bakgrundsbild och för kring definitioner, krav, sannolikhet och konsekvenser. 3.1 Definitioner Följande definitioner är centrala för analysen Hot Potentiell orsak till en oönskad incident, vilken kan resultera i skada på ett system eller organisation. Sårbarhet Svaghet gällande en tillgång eller grupp av tillgångar, vilken kan utnyttjas av ett eller flera hot. Konsekvens Konsekvensen är ett mått på den skada ett hot skulle ha på verksamheten om det inträffade. Påverkan kan exempelvis vara direkt eller indirekt, ekonomisk eller medmänsklig. Sannolikhet Sannolikheten anger hur troligt det är att hotet kommer att inträffa Riskvärde Produkten av sannolikheten för en händelse och dess konsekvenser Stephen Dorch 0480-448343 2012-01-13 1.0 3 (9)

3.2 Krav Kravställare är IT-cheferna som i projektet representeras av utsedd styrgrupp. Utöver de kommunala IT-cheferna ställer även Länsstyrelsen och Myndigheten för Samhällsskydd och beredskap (MSB) utifrån innehållet i ansökan och regelverket för 2:4 krisberedskap. Indirekt finns kravet formulerat som en målbild i den nationella digitala agendan som regeringen har antog 2011. 3.3 Definition av sannolikhet och konsekvens För att få ett relevant, verkningsfullt och användningsbart resultat är det av vikt att skalan av sannolikhet och kompetens anpassas till den verksamhet som ska analyseras. 3.3.1 Sannolikhet Graden av sannolikhet anpassades till nedanstående värden: Värde 1 Försumbar sannolikhet, (=Det kommer förmodligen inte att inträffa under projekttiden) Värde 2 Liten sannolikhet, (=Det finns en liten sannolikhet att det inträffar under projekttiden) Värde 3 Stor sannolikhet, (=Det finns en stor sannolikhet att det kan inträffa under projekttiden) Värde 4 Troligt, (=Det är troligt att det kommer att inträffa under projekttiden) 3.3.2 Konsekvens Graden av konsekvens anpassades till nedanstående värden: Värde 1 Ringa konsekvens, (= Om risken inträffar har det i stort ingen direkt påverkan på projektet) Värde 2 Måttlig konsekvens, (=Om risken inträffar har det måttlig påverkan på projektet) Värde 3 Betydande konsekvens, (=Om risken inträffar har det betydande konsekvens på projektet) Värde 4 Allvarlig konsekvens, (=Om risken inträffar har det mycket allvarlig påverkan på projektet) Stephen Dorch 0480-448343 2012-01-13 1.0 4 (9)

4 Resultat Sammantaget identifierades 20 risker, som utifrån sannolikhet och konsekvens har rangordnats. Samtliga risker finns beskrivna i med åtgärdsförslag i tabellen kapitel 5 nedan. 4.1 Kritiska - 6 st 6 risker anses kritiska, med ett riskvärde på 12-16 av 16. Gemensamt för dessa är brist på tid, resurser, kompetens samt risken för att leverantörerna inte levererar tillräckligt god kvalité. 4.2 Allvarliga 2 st 2 risker anses allvarliga, med ett riskvärde på 8. Gemensamt för dessa är svårigheter att få in material och återrapportering i tid från kommunerna. Stephen Dorch 0480-448343 2012-01-13 1.0 5 (9)

4.3 Betydande - 6 st 6 risker anses allvarliga, med ett riskvärde på 4-6. Gemensamt för dessa är att kompetensökningen uteblir samt att det uppstår informationsbrister, dålig återrapportering samt brister vid informationsinsamling. Vidare finns risker för felaktig konfigurering och felaktig hantering av verktyg samt att resultat av tester och analyser ej tas tillvara. 4.4 Stora - 2 st 2 risker anses betydande, med ett riskvärde på 3. Dessa är risker för att infört system inte är framtidssäkrat samt att det skulle en föreligga en möjlig negativ inställning till förändringar typ så här har vi alltid gjort. 4.5 Mindre - 2 st 2 risker anses mindre, med ett riskvärde på 2. Dessa är risken att anlitat företag kommer på obestånd eller att det är uppenbara brister i förstudien. 4.6 Försumbara - 2 st 2 risker anses försumbara, med ett riskvärde på 1. Dessa risker är tekniska och består i att införda versioner inte skulle vara kompatibla eller att införda primära och sekundära DNS er inte skulle vara redundanta. Stephen Dorch 0480-448343 2012-01-13 1.0 6 (9)

5 Protokoll riskanalys ens resultat dokumenteras i nedanstående tabell som visar prioritet, riskvärde samt åtgärdsförslag. Risk nummer Beskrivning av risk Sannolikhet Konsekvens Riskvärde Åtgärdsförslag Ansvarig 1 Felkonfiguration i skarp läge 1 4 4 Följ upp tester, validera, säkerställ åtgärdsplaner 2 Ej tillförlitligt verktyg dvs passar ej valda program 1 4 4 Följ upp tester, validera, säkerställ åtgärdsplaner. Fastställ hur rutinen ska se ut i respektive km 3 Saker som alltid funkar blir svåra att lösa när det väl strular 4 4 16 DNS tjänsten funkar normalt sett, vilket gör att man sällan kontrollerar. Fastställ hur rutinen ska se ut i respektive km. Dokumentera vad som är gjort, och när saker ska göras, övervakning. Reundans och bakup, restore, övning/testrestore 4 Införa versioner som inte är kompatibla (ex för gammal bind vers, ger problem med signering) 1 1 1 Förstudien visar på detta. Ska upptäckas vid "bakgrundskoll", förteckning av adm sys som klarar ställda krav. Lokal PL 5 Sekundar och primär dns ej tillräckligt redundanta 1 1 1 Om km ska bli mer självständiga mot ISP, så ska vi säkerställa redundans i plattformen. 6 tredje part ej tillgånglig, ex konkurs 1 2 2 Välj part med omdöme, samverka, kravställning IT-chef 7 Teknikertid/resurser räcker inte till eller tillsätts ej 4 3 12 IT-chefens ska tillsätta resurser IT-chef 8 Organisationsförändring ändrar förutsättningarna 2 3 6 Konsekvens kan bli stora om flytt av serverar ingår. It-chef 9 Bristfällig förstudie 1 2 2 Konsekvens ringa beroende på hur vi kravställt förfrågan, samt egen insikt. Kontrolera utkast till rapporten mot andra rapporter, t.ex iis osv. PL och tekn koord Stephen Dorch 0480-448343 2012-01-13 1.0 7 (9)

10 Att utbildningen inte ger förväntad effekt 3 2 6 Produktspecifikt eller generell, kanske en av varje? Viktigt att vi specar förväntningar! Lokal PL 11 Kompabilitet med det som kommer, dvs lösningen ska vara framtidssäkrad, ex ipv6 1 3 3 Del av förstudien, Konsekvensen blir längre fram, utanför projektet PL 12 " så här har vi alltid gjort" - en parts förhålningssätt försvårar möjligheterna till gem reg plattform 1 3 3 Öppet förhållningssätt mellan km IT-avd. PL 13 Inventering från kommunerna komer ej in i tid = försvårar förstudien 4 2 8 Hänger ihop med teknikertid. Viktigt med en bra mall, bra förfrågningsunderlag. Effekten blir sämmra kvalité för berörd km. Lokal PL 14 Informationsutbyte är bristfällig ( problemguide, informationskälla) 2 3 6 Frågor till tekn koordin, konsulter och övrigt ställs på projektplatsen. PL 15 Återrapportering fungerar ej 4 2 8 En tydlighet i vad som ska återrapporteras måste fram, och när. Gör en "trappa" med delmål. Grön/rödosv. På en tillämpbar nivå. PL Lokal PL 16 Tider enligt projektspec stämmer ej 4 3 12 Respektive IT-chef tilldelar resurser. Styrgrupp plus IT-chef 17 Att vii inte får ut det vi förväntar oss av projektets konsulter 4 3 12 Skriv bra kravspec. Säkerställ vad vi vill ha. Fast pris. Bet sker efter godkänt lev. Det ska vara "GRÖNT" 18 Resultat av tester tas ej tillvara i slutkonfig 1 4 4 Motiovera särsklt varför avvikelsen sker. Säkerställ förändringshanteringen. Resultat av testmiljö bör/ska verifieras av ext konsult. Sätt upp testmiljö/domain. Lokal PL 19 Tidplan för genomförandet knapp 4 3 12 Man tappar 3 månader. Utvecklingstid ligger ofta på sommaren, då det ev är lite lugnare i verksamheten. PL 20 Allt som ska signeras signeras inte 4 4 16 Oklart om vilka domäner som ska signeras, samt revers lookup. Kolla upp vad som gäller, se till att det som ska ingå finns med i inventering. Verkar som att "allt" ska ingå. Vad signeras inom projektet, och vad är ok om det ligger utanför, mn i genomförandeplan. PL kollar i utlysning och mot MSB. Stephen Dorch 0480-448343 2012-01-13 1.0 8 (9)

Stephen Dorch 0480-448343 2012-01-13 1.0 9 (9)

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss