VAD ÄR EN SÄKERHETSANALYS. Thomas Kårgren

Relevanta dokument
HUR GENOMFÖR MAN EN SÄKERHETSANALYS. Thomas Kårgren

Säkerhetsanalys. Agenda. Säkerhetsanalys maj 2012 Svante Barck-Holst. Säkerhetspolisen Säkerhetsskydd Säkerhetsanalys

Att skydda det mest skyddsvärda

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS,

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Policy för säkerhetsskydd

Affärsverket svenska kraftnäts författningssamling Utgivare: chefsjurist Bertil Persson, Svenska Kraftnät, Box 1200, Sundbyberg ISSN

Säkerhetsskydd en översikt. Thomas Palfelt

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Angående Justitiedepartementets remiss SOU 2015:25,

Informationssäkerhet och säkerhetsskydd

Patrik Fältström Teknik- och Säkerhetsskyddschef

Säkerhetshöjande åtgärder inom VA Några exempel från Kretslopp och vatten i Göteborg

1. Säkerhetsskydd 2. Säkerhetsskyddad upphandling 3. Nya säkerhetsskyddslagen

Riktlinjer. Informationssäkerhetsklassning

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

09.05 Säkerhetspolischef Anders Thornberg Samverkansrådet Nationellt centrum för terrorhotbedömning Bensträckare 10.

Scandinavian Risk Solutions Creating Value by Protecting Assets

Riktlinjer för informationssäkerhet

Finansinspektionens författningssamling

Risk- och sårbarhetsanalys samt elberedskapsåtgärder, SvK. EI Seminarium om risk- och sårbarhetsanalys 26/11

Finansinspektionens författningssamling

KOMMUNALA STYRDOKUMENT

Finansinspektionens författningssamling

Innehållsförteckning 1 Allmänt Organisation Säkerhetsskydd Säkerhetsskyddschefens uppgifter Säkerhetsskyddsanalys...

Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod

Myndigheten för samhällsskydd och beredskaps författningssamling

Skärpt kontroll av statliga myndigheters utkontraktering och överlåtelse av säkerhetskänslig verksamhet. (Ju 2017/07544/L4)

HITTA KRONJUVELERNA. Charlotta Rudoff & Åsa Schwarz PAGE 2 THIS IS KNOWIT

10 tips för säkrare outsourcing

Yttrande över En ny säkerhetsskyddslag (SOU 2015:25)

Vilken säkerhetsnivå ska man välja?

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Punkt 15: Riktlinje för internrevision

Om krisen eller kriget kommer Samhällsviktig verksamhet och nya lagar

EBITS 2013 Elförsörjningen i Cyberkriget

Säkerhetsskyddsplan för Luleå kommun

Svenska kraftnäts arbete med risk- och sårbarhetsanalys

Säkerhetsskyddsplan. Styrande måldokument Plan Sida 1 (10)

Omslagsfoto: Johan Fowelin. Foton, illustrationer och kartor har tagits fram av. Svenska kraftnät. Org.Nr

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Säkerhetsklassning och säkerhetsprövning inom exploateringsnämndens verksamhet

Rikspolisstyrelsens författningssamling

Säkerhetsskydd en vägledning

Fastighetsförvaltning i myndighetsform

Säkerhetspolicy för Kristianstad kommun

REMISSVAR. Rättsenheten Justitiedepartementet Stockholm. Remissvaret följer promemorians disposition.

Nationell Säkerhetsstrategi Totalförsvar Säkerhetsskydd

Förvaltningsplan. Sida 1 (6) Datum: Uppgjord: Monika Sandin, Godkänd: Jerry Stridh Sign: Ver. 0.8.

Kompletteringsuppgift: Verksamhetsanalys och riskanalys

RIKSPOLISSTYRELSEN, ( ), Box 12256, Stockholm som företräder staten, nedan kallad Myndigheten

Bilaga - Personuppgiftsbiträdesavtal

SÄKERHETSSKYDDSAVTAL (nivå 3)

Polismyndigheten, ( ), Box 12256, Stockholm som företräder staten, nedan kallad Polisen

SÄKERHETSSKYDDSAVTAL (nivå 3)

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Svenska Kraftnät VÄGLEDNING. Säkerhetsanalys

SÄKERHETSSKYDDSAVTAL. SÄKERHETSSKYDDSAVTAL Diarienr (åberopas vid korrespondens) Polisens verksamhetsstöd Administrativa enheten Upphandlingssektionen

Fastställande av Säkerhetsskyddplan Region Östergötland

SÄKERHETSSKYDDSAVTAL (nivå 2)

2.2 Säkerhetsprövning med säkerhetsbedömning och registerkontroll

Informationsklassning och systemsäkerhetsanalys en guide

Sekretessavtal. (Projekt namn)

SÄKERHETSHANDBOKEN STADSNÄTEN OCH FÖRENINGENS NÄTSÄKERHETSARBETE. Jimmy Persson Chef Utveckling & Säkerhet

Riktlinjer för säkerhetsskydd och beredskap

Riktlinjer för systematiskt säkerhetsarbete och säkerhetsorganisation för Malung-Sälens kommun.

IP STANDARD VERSION 2018:1 GILTIG FRÅN IP LIVSMEDEL GRUNDCERTIFIERING

myndigheter En andra granskning av informationssäkerhet i staten RiR 2016:8 Informationssäkerhetsarbete

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Checklista för egenkontroll enligt förordningen om verksamhetsutövares egenkontroll 1998:901 (FVE)

RISKHANTERING FÖR SCADA

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(12) <SYSTEM> <VERSION> ANALYSUNDERLAG IDENTIFIERA (AU-I)

Strukturerat informationssäkerhetsarbete

SUA Nivå 1 Anvisningar gällande Säkerhetsskydd

Ersättningspolicy. Lantmännen Finans AB Org. nr Policy 1.12

Ramverket för informationssäkerhet 2

Pass 2: Datahantering och datahanteringsplaner

Miljöriskhantering enligt egenkontrollförordningen.

Datum Diarienr. /2015

Säkerhetsskyddsplan för Piteå kommun

EBITS Elförsörjningen i Cyberkriget. Långholmen november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet

Säkerhetsskydd. Skydda det mest skyddsvärda. Roger Forsberg, MSB

Informationssäkerhet utifrån nya krav i förordningen och NIS-direktivet, vilket stöd finns för kommunerna

Kapitel 7 Hantering av tillgångar

Hantering av behörigheter och roller

Säkerhetspolicy för Västerviks kommunkoncern

Säkerhetsskyddsavtal

Några myndigheters rapportering om informationssäkerhet i årsredovisningen INFORMATIONSSÄKERHETEN ÄR TILLRÄCKLIG

Datum Diarienr. /2015

VGR-RIKTLINJE FÖR FYSISK SÄKERHET

Informationssäkerhetspolicy för Ystads kommun F 17:01

Polismyndighetens författningssamling

RSA Risk- och sårbarhetsanalys

RUTIN FÖR RISKANALYS

Hotkatalog för Elbranschen Hot mot IT-, informationshantering, processkontroll och automation

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Lagen om Energikartläggning i stora företag

Transkript:

VAD ÄR EN SÄKERHETSANALYS Thomas Kårgren

2 Rättslig reglering > SVKFS 2013:1 1 Den säkerhetsanalys som ska genomföras enligt 5 säkerhetsskyddsförordningen ska göras minst en gång vartannat år. Resultatet av analysen ska dokumenteras. Svenska Kraftnät ska på anmodan delges resultat av sådan analys. > Säkerhetsskyddsförordningen 1996:633 5 Myndigheter och andra som förordningen gäller för skall undersöka vilka uppgifter i deras verksamhet som skall hållas hemliga med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot terrorism. Resultatet av denna undersökning (säkerhetsanalys) skall dokumenteras.

SÄPO:s riktlinjer/exempel för/på vad som är skyddsvärt i sammanhanget > Dokumentation > IT-miljön > Verksamhet > Anläggningar > Telekommunikation > Elförsörjning > Vattenförsörjning

Identifiering skyddsvärda resurser > Hur identifiera vad som är skyddsvärt Uppgifter Verksamhet Anläggning System

Beroenden ger upphov till skyddsvärde ett exempel > En anläggning bedöms omfattas av säkerhetsskyddsbehov inom ramen för skydd mot terrorism vad innebär det i övrigt som följd av direkta och implicita beroenden? Uppgifter om anläggningens fysiska utförande och skyddsnivå Uppgifter om anläggningens tekniska system Vilka arbetar där och vilka uppgifter har de Vad finns det för skyddsvärda resurser i anläggningen Hur ser anläggningens detaljerade funktion ut Sårbarheter som är potentiella eller befintliga hos anläggningen

Åter till frågan VAD är en säkerhetsanalys? Resultatet av analysen ska dokumenteras Uppgifter, anläggningar, verksamhet och system! Tautologi då det i slutändan alltid rör sig om en uppgift om något! En förteckning tabell som innehåller uppgifter om anläggning, verksamhet eller system. Bättre uttryckt objekt eller resurser! Observera de lösa och vida definitionsbegreppen av uttrycken. Det är viktigt att inse att ett system kan utgöras t.ex. av en kombination av anläggning/ar, verksamhet, personal och IT-system som tillsammans utgör eller utför en funktion.

VAD? Kärnan i en säkerhetsanalys! Två viktiga saker att tänka på: 1. Bedömningarna om vad som är skyddsvärt ska göras gentemot antagonistiska hot, företrädesvis utan att ta hänsyn till sannolikhet utan endast med fokus på konsekvenser. Observera att det kan finnas implicita beroenden även till andra typer av hot som kan möjliggöra antagonistiska hot 2. Enkel och lättläst uppräkning av de identifierade resurserna och objekten Tabell med tillämpliga kolumner!

VAD? Kärnan i en säkerhetsanalys! Tabell Skyddsvärd uppgift eller anläggningsresurs GIS-information med attributdata i företagets förvaltningssystem för anläggningar. Benämns kvalificerad GIS-information Beskrivning och motivering GIS-information med attribut kan ge uppgift till aktör om hur denna kan utnyttjas för att, i värsta fall orsaka avbrott i företagets hela elförsörjningsverksamhet. Sådan påverkan kan ske med såväl IT-baserade angrepp som med fysisk/mekanisk påverkan eller kombinationer därav. Det går inte att utesluta att ett sådant avbrott blir svårt att avhjälpa (mer än 7 dygn till 75% kapacitet återställning). Ett sådant avbrott kan i värsta fall påverka 110 000 abonnenter vars liv kan vara i fara, inte minst om detta sker vintertid. Informationen bedöms mot ovanstående vara av vikt att skydda med avseende på terrorism. Företagets informationsklass Företaget ansätter informationsklass K1

Att disponera innehållet i säkerhetsanalysen röda tråden > Inledning, bakgrund och identifiering av objektet > Formalia (bemanning, hålltider, avgränsningar etc.) > Beskrivning av delobjekt (littererade) som identifierats och vilka hot de utsätts eller kan utsättas för samt vilka konsekvenser detta ytterst kan medföra > Tabell med bedömningar kopplade till respektive littera > Avsnitt om åtgärder, uppföljning och kontroll [OBS!!!]

Säkerhetsanalysen som dokument!? Skyddsvärde för analysen konfidentialitet och klassiska fällor! > Innehållet i analysen ÄR skyddsvärt! > För att verka med innehållet utfallet krävs en delgivning till parter som behöver informationen för att utföra sitt värv på ett korrekt sätt. > Klassificering och kontrollerad delgivning med sunda rutiner.

Utkomst av en säkerhetsanalys Det viktigaste med analysen Säkerhetsskyddsåtgärder och andra säkerhetshöjande åtgärder Vad är skillnaden? Säkerhetsskyddsåtgärder Åtgärdsplaner, uppföljning, kontroll och revision Åtgärdsplanering är ofta i sig lika, eller mer omfattande, än säkerhetsanalysen vad avser dokumentvolym. Således är det rimligt att åtgärdsplaneringen hanteras separat men att det finns tydliga kopplingar med spårbarhet. Åtgärdsplan exempel på energisäkerhetsportalen

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss