1 Risk- och sårbarhetsanalys

Relevanta dokument
Informationssäkerhetspolicy för Ånge kommun

Informationsklassning och systemsäkerhetsanalys en guide

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Bilaga 3c Informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Informationssäkerhetsanvisningar Förvaltning

IT-säkerhetsinstruktion Förvaltning

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Dnr

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Riktlinje för informationssäkerhet

Informations- och IT-säkerhet i kommunal verksamhet

Bilaga 3c Informationssäkerhet

Riktlinjer för IT-säkerhet i Halmstads kommun

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Policy Document Number ESS Date Mar 14, 2013 Revision 1 (3) Plan för IT Säkerhet

Regler och instruktioner för verksamheten

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Handlingsplan för persondataskydd

Finansinspektionens författningssamling

Finansinspektionens författningssamling

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Riktlinjer för IT och informationssäkerhet - förvaltning

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Metod för klassning av IT-system och E-tjänster

Finansinspektionens författningssamling

Förnyad certifiering av driftleverantörerna av Ladok

Riktlinje för Systemförvaltning

Fördelning av ansvar för informationssäkerhet. Version: 1. Beslutsinstans: Regiondirektören

IT-generella kontroller i Agresso, skattekontosystemet, Moms AG och Tina

Handlingsplan för Uppsala universitets anpassning inför EU:s dataskyddsförordning

SÅ HÄR GÖR VI I NACKA

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Rutin för loggkontroll och tilldelning av behörigheter i nationell patientöversikt (NPÖ) Rutinen gäller från fram till

Riktlinjer informationssäkerhetsklassning

IT-Säkerhetsinstruktion: Förvaltning

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Riktlinjer för informationssäkerhet

Riktlinjer. Informationssäkerhetsklassning

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

RISKHANTERING FÖR SCADA

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Sollentuna kommun. Generella IT kontroller Visma Affärslösningar. Detaljerade observationer och rekommendationer. November 2017

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Information om dataskyddsförordningen

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Beslutsdatum (rev )

Granskning av generella IT-kontroller för PLSsystemet

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationsklassning, riskanalys och åtgärdsplan för system som har direkt beroende till HSA

Checklista Identitetshanteringssystem för SWAMID 2.0. Utarbetad tillsammans med SUNET CERT och SUSEC

Informationssäkerhet med logghantering och åtkomstkontroll av hälso- och sjukvårdsjournaler i Vodok och nationell patientöversikt (NPÖ)

Region Gotland. Generella IT kontroller Visma och HR Plus. Detaljerade observationer och rekommendationer. Februari 2017

Informationssäkerhetspolicy för Ystads kommun F 17:01

Säkerhet vid behandling av personuppgifter i forskning

Koncernkontoret Enheten för säkerhet och intern miljöledning

Systemförvaltningsmodell för LiU

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Guide för säker behörighetshantering

Riktlinjer för informationssäkerhet

VÄGLEDNING INFORMATIONSKLASSNING

IT-SÄKERHETSPLAN - FALKÖPINGS KOMMUN

Riktlinjer för informationssäkerhet

Revisionsrapport. IT-revision Solna Stad ecompanion

Informationssäkerhetspolicy inom Stockholms läns landsting

Dokumenttyp Riskanalys Område DNSSEC2012. DNSSEC 2012 RISKANALYS Version 0.1. Västervik Ort och datum. Stephen Dorch Analysledare

Bilaga 3c Informationssäkerhet

En guide om GDPR och vad du behöver tänka på

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

IT-konsekvensanalys dataskyddsförordning

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Plan för internkontroll med väsentlighets- och riskanalys 2018 för överförmyndarnämnden

SÄKERHETSFÖRESKRIFTER FÖR FÖRVALTNING AV IT-SYSTEM

Checklista för Driftsättning - Länsteknik

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Plan för internkontroll med väsentlighets- och riskanalys 2018 för

Arkivkrav för IT system med elektroniska handlingar vid Lunds universitet

Systemförvaltningshandbok

GDPR. Dataskyddsförordningen 27 april Emil Lechner

SUS Processen för att beställa behörigheter till SUS för dig som arbetar på en kommun, ett landsting eller samordningsförbund.

Bilaga 3 Säkerhet Dnr: /

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Mittuniversitetets riktlinjer för systemförvaltning

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Den nya dataskyddsförordningen (GDPR) Åtta månader kvar, är ni redo? Marielle Eide, Associate lawyer Advokatfirman Delphi

Enligt Malmö stads reglemente för intern kontroll ska nämnderna årligen anta en plan för den interna kontrollen.

Myndigheten för samhällsskydd och beredskaps författningssamling

Rikspolisstyrelsens författningssamling

IT-säkerhetspolicy. Fastställd av KF

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Riktlinjer. Informationssäkerhet och systemförvaltning

Helhetsåtagande underhåll och drift

EU:s dataskyddsförordning

Transkript:

Bilaga 10 1 Risk- och sårbarhetsanalys I detta kapitel utgår vi från identifierade riskscenarier i följande bilagor: Bilaga X Informationsklassning, digitalt stöd i hemmet.xls Vi värderar hur stor sannolikheten är för att en risk ska inträffa samt bedömer konsekvensen av om risken inträffar. Vi använder oss av nedanstående skalor. Skalan för sannolikheten är följande: Värde Benämning Innebörd/betydelse 4 Ofta Kan inträffa månadsvis 3 Regelbundet Kan inträffa kvartalsvis 2 Sällan Kan inträffa årligen 1 Mycket sällan Inträffar någon gång var fjärde år, jmf mandatperiod Skalan för konsekvens är följande: Värde Benämning Innebörd/betydelse 4 Allvarlig Data är permanent borta, allvarlig personskada eller dödsfall, betydande ekonomisk skada, mycket stor kränkning, röjning av känsliga personuppgifter och liknande. 3 Betydande Ekonomisk skada, risk för betydande personskada kränkning, röjning av personuppgifter och likande. 2 Måttlig Måttlig påverkan på verksamheten, risk för måttlig personskada 1 Försumbar Försumbar påverkan, ingen kränkning Riskvärdet (RV) beräknas som: Värdet av sannolikheten gånger konsekvensen Högsta riskvärdet kan bli 16 (4x4) och ska prioriteras Lägsta riskvärdet kan bli 1 (1x1) och är i stort sett försumbart

Identifierade risker i grafisk form 4 R11, R38, R13, R15, R17, R21, R22, R39, R51, R52, R55 R19, R20, R44, R48, R49, Sannolikhet 3 R28, R29, R36, R56 2 R2, R4, R14 R5, R12, R23, R26, R37, R46, R53, R7, R8, R30, R31, R40, R41, R50, R32, R34, R35, R42, R43, R47, R27, R45, R54, 1 R3, R18 R1, R9, R16, R25, R33, R6, R10, R24, 1 2 3 4 Konsekvens Varje enskild risk kommenteras i åtgärdsplanen, bilaga 7. Riskerna är numrerade med hänvisning till källan, dvs till aktuell bilaga och kapitel. Till detta anges ett Risknummer R1, R2 osv. (Rnr=Risknummer). Detta för att åstadkomma en följsamhet genom hela analysen, där varje enskild risk och händelse kan följas upp från identifierad risk till åtgärd av risk.

Rnr ID nr Risken att på grund av S K RV R1 IK 4 en SÄ saknas rollen inte är utsedd 1 3 3 R2 IK 5 systemet underhålls felaktigt inaktuell förvaltningsmodell 2 2 4 R3 IK 6 ansvar för personuppgifterna hanteras oaktsamt rollen PuO inte är utsedd 1 2 2 R4 IK 7 systemet införs utan full kontroll kunskapsnivån inte är 2 2 4 R5 IK 30 känslig information röjs på mobil enhet säkerställd hos de ansvariga relevanta säkerhetskrav inte är införda 3 3 9 R6 IK 43 otillbörlig användning av personuppgifter sker leverantör och kund har olika uppfattningar gällande ansvar 1 4 4 R7 IK 49 att ett larm hanteras fel, t.ex pausar bristande kompetens 2 3 6 R8 IK 50 utbildning uteblir utbildningsplan saknas 2 3 6 R9 IK 51 ansvar inte kan tilldelas person som utför felaktig handling rutin för detta saknas 1 3 3 R10 IK 54 support utgått och det inte tillgångar som hw och sw inte framgår i förteckningar att supportas längre tillgångarna finns kvar 1 4 4 R11 IK 55 tillgångar sprids försvinner (kastas t.ex.) rutin saknas för återlämning 4 2 8 R12 IK 56 vi upprättar felaktiga ( ej bristande insyn i optimala ) rutiner driftdokumentation 3 3 9 R13 IK 57 användardokumentation handhavandefel sker saknas 4 3 12 R14 IK 58 uppföljning inte sker på avsaknad av rutin, t.ex. processer och rutiner förvaltingsplan, APT 2 2 2 R15 IK 60 användare gör fel genomgång ej skett 4 3 12 R16 IK 70 klassning inte genomförs avsaknad av förvaltningsplan 1 3 3 R17 IK 78 en incident inte anmäls ( och följs upp) rutin inte följs 4 3 12 R18 IK 95 behörigheter sätt supp utan SÄ godkännande R19 IK 96 tillgång till system ges med enkelt åtkomst R20 IK 108 personal tillser en brukare otilbörligt 1 2 2 bristande 2-faktor. 4 4 16 brister i tilldelning av rättigheter 4 4 16 R21 IK 112 en användare har felaktig felaktig behörighetstilldelning 4 3 12 åtkomst R22 IK 115 se 112 4 3 12 R23 IK 116 att behörigheter röjs för 3 3 9 anställd med höga behörigheter

Rnr ID nr Risken att på grund av S K RV R24 IK 120 intrång sker defaultlösenordet kvarstår 1 4 4 R25 IK 134 viktig lagstiftning inte följs okunskap om de legala kraven 1 3 3 R26 IK 138 loggutdrag inte är möjliga R27 IK 183 underhåll gör på tider som inte överensstämmer med verksamhetens krav logg ej sparas / skapas 3 3 9 bistande rutiner för uppgraderingar 2 4 8 R28 IK 194 organisationen för systemförvaltning saknas 3 2 6 R29 IK 195 likartade incidenter upprepas avsaknad av uppföljning 3 2 6 R30 IK 197 kommunen inte i alla situationer vet hur man ska agera åtgärdsplaner saknas 2 3 6 R31 IK 200 kommunen är omdeveten av vissa risker avsaknad av riskanalys 2 3 6 R32 IK 206 verksamhet blir onödigt drabbad avsaknad av rutin för akutuppdateringar R33 IK 207 systemet överbelastas undermålig kapacitet 1 3 3 R34 IK 215 utbrott av skadlig kod sker felaktiga säkerhetsuppdateringar R35 IK 220 systemet inte kan återställas vid inga planerade TÅP tester en ev krash eller utförst att icke relevant data läses eller att gammal data läses tillbaka tillbaka som inte är relevant. R36 IK 222 logghanteringen är bristfällig R37 IK 230 3 2 6 uppföljning av händelse försvåras felaktiga tidsinställningar 3 3 9 R38 IK 242 systemet inte uppfyller kraven överenskommelse inte 4 2 8 tecknats R39 IK 267 personuppgifter hanteras olagligt brister i processerna 4 3 12 R40 IK 276 information används till annat än vad som var avsikten brister i processerna 2 3 6 R41 IK 277 krypterad information läcker R42 IK 279 leverantören anser sig ha äganderätt till information i systemet R43 IK 280 sekretessbelagd information kommer extern part till känna brister i rutin vid dekryptyering och lagring 2 3 6 brister i avtal

Rnr ID nr Risken att på grund av S K RV R44 IK 291 svårigheter att simulera verklig testmiljö inte kan upprättas miljö 4 4 16 R45 IK 292 osäker kod lagras i systemet, Se svårigheter med validering av 215 kod, (IoT) 2 4 8 R46 IK 299 verksamheten inte vet hur den felaktighet eller avsaknad av ska agera då systemet ligger kontinuitetsplan nere 3 3 9 R47 IK 300 återställning misslyckas efter felaktigheter i avbrott ( se även 220 ) återställningsplan för drift R48 IK 307 kommunen bryter mot PuL och nya direktivet brister i insyn hos leverantör 4 4 16 R49 IK 308 sårbarheter inträffar brister i testning 4 4 16 R50 IK 328 systemförvaltaren inte har brister i rutin vid tillräcklig kunskap om systemet ( akutuppdateringar se även 206) 2 3 6 R51 IK329 parterna inte vet vilka de ska dessa inte är kända 4 3 12 kontakta vid incidenter R52 IK 331 systemförvaltaren inte har tillräcklig kunskap om systemet R53 IK 335 systemet inte utvecklas ( se kavalityetsuppföljning ) R54 IK 337 sekretessbelagd information röjs vid incidenter R55 IK 342 aktiviteter under incident kan inte följas upp R56 IK 343 de roller som borde vara med i uppföljingar inte medverkar brister i återkoppling av incidenter 4 3 12 brister i återkoppling 3 3 9 brister i rutin 2 4 8 loggning av händelser inte skett det är svårt att förstå innan vilka som ska vara med 4 3 12 3 2 6

2 Handlingsplan Rnr ID nr Åtgärd Ansvarig Status R1 IK 4 Bestäms vid Utse systemägare upphandling Ej påbörjat R2 IK 5 Fastställ förvaltningsmodell Systemägare Ej påbörjat R3 IK 6 Försumbart R4 IK 7 Se över process för införande R5 IK 30 Identifiera och verkställ nödvändiga säkerhetsinställningar för mobila enheter R6 IK 43 Försumbart R7 IK 49 Informera och utbilda R8 IK 50 Upprätta utbildningsplan R9 IK 51 Försumbart R10 IK 54 Försumbart R11 IK 55 Inför rutin för hantering och återanvändning av enheter R12 IK 56 Samråd med leverantör om rätt insyn i respektive organisation driftrutin R13 IK 57 Skapa och underhåll dokumentation till användare R14 IK 58 Inför förvaltningsplan R15 IK 60 Introducera användare i rätt omfattning R16 IK 70 Se till att klassning finns med i förvaltningsplan R17 IK 78 Se till att rutin finns för incidenthantering, anmälan, åtgärd, återkoppling R18 IK 95 Behörighetskontrollsystem med delegation på beslut och verkställande R19 IK 96 Inför stark autentisering där behov finns R20 IK 108 Se över behörighetskontrollsystem och loggningsrutiner R21 IK 112 Samma som R18 R22 IK 115 Samma som R18 R23 IK 116 Skapa rutin för personal med höga behörigheter R24 IK 120 Inför rutin där default lösen alltid byts

Rnr ID nr Åtgärd Ansvarig Status R25 IK 134 Utbilda, informera, ge stöd till och hänvisa till information kunskap och fakta gällande legala krav R26 IK 138 Fatta beslut om loggning R27 IK 183 Inför i samråd med verksamheten tidslucka för service och underhåll R28 IK 194 Upprätta systemförvaltningsmodell R29 IK 195 Inför förvaltningsplan, följ upp händelser, ge återkoppling R30 IK 197 Upprätta kontinuitetsplaner R31 IK 200 Genomför riskanalyser kontinuerligt R32 IK 206 Inför rutin för akutuppdateringar R33 IK 207 I förvaltningsplan, inför kapacitetsberäkningar och belastningsanalyser R34 IK 215 Säkerställ att skydd mot skadlig kod finns på samtliga relevanta enheter R35 IK 220 I förvaltningsplan, inför tester och återläsning etc. R36 IK 222 logghanteringen är bristfällig R37 IK 230 Om möjligt, försök att få enheterna att synkronisera tiden, genom ntp eller motsvarande R38 IK 242 Tydliggör i avtal vad som förväntas R39 IK 267 Genomför processkartläggning och beakta särskilt behandling av personuppgifter i dessa gentemot legala krav R40 IK 276 Samma som R39 R41 IK 277 Säkerställ att krypterad information även skyddas vid dekryptering och lagring, så att hela kedjan skyddas R42 IK 279 Tydliggör vem som är informationsägare R43 IK 280 I avtalen, se till att ansvar för sekretess är tydligt R44 IK 291 Sätt upp en relevant testmiljö, simulera tester och utvärdera, lag in tester I rutinerna R45 IK 292 Se 215 R46 IK 299 Se R30 R47 IK 300 Se 215 R48 IK 307 Se R39, kravställ leverantör med rätt insyn I dennes processer R49 IK 308 Se R44, samt se över processerna för testning R50 IK 328 Se R32 R51 IK329 Se till att korrekta kontaktlistor finns upprättade R52 IK 331 I förvaltningsplan och avtal, säkerställ process för incidenthantering R53 IK 335 I dialog med SÄ, säkerställ på vilket sätt systemet ska utvecklas, följa utvecklingen, I förvaltningsplan definiera process för återkoppling

Rnr ID nr Åtgärd Ansvarig Status R54 IK 337 I förvaltningsplan, fastställ rutin för incidenthantering R55 IK 342 Se R54 samt se over loggning R56 IK 343 Vid uppföljning, inför rutin och process för rätt bemaning

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss