ISD Etablering av ISD inom FMV Dan Olofsson PrL ISD 070-6825904
Definition Informationssäkerhet Informationssäkerhet Administrativ säkerhet Teknisk säkerhet Policy Rutiner etc Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet
Definition ISD Informationssäkerhetsdeklaration (ISD) är en stödprocess för ackrediteringsarbete enligt gällande SAMO 2012 (HKV 03 200:69018; 12FMV7115-5:1). Denna deklaration fastställer att FMV: - Tar ett designansvar för IT säkerhetslösningen - Uppfyller FM krav på informationssäkerhet - Dokumentationen är utformad enligt den norm som gäller inom FMV med stöd från FM regelverk och handböcker
ISD - Integreras i och stöder ISD är en förutsättning för: FMV designansvar ISD integreras med: FMV VHL och därmed SE-arbete inklusive VoV ISD säkerställer leveranser till: FM Auktorisationsprocess ISD integrerar: FM KSF 3.0 FM IT-styrningsprocess
ISD - Integration med FMV VHL
Planera Systemsäkerhetsarbete Planera systemarbete Planera Informationssäkerhetsarbete Planera VoV Planera Överlämning Planerat systemarbete Planerad VoV Planerad Överlämning Vägledning Ackreditering o SE Ackrediteringsplan, Kravfångst, Arkitektur, VÅ, TS Vägledning Ackreditering o Verifiering Oberoende granskning Teknisk Ackrediteringsunderlag ISD
ISD - FM Auktorisationsprocess
B1 1 (Mål) B2/S1 (Behov) B3/S2 (Kravbild) B4/S3 (Lösning) B5/S4 (Granskning) FM Beslutet ger inriktning/styr ISD-plan Inriktning/styr ISD-plan Inriktning/styr ISD-plan Underlag till B3 Underlag till B4 Underlag till B5 FMV Initial Analys Kravspec/ upphandling Leverans FM Output: Kravfångst Ackrediteringsplan Output: Övergripande säkerhets- Arkitektur Teknisk spec Verksamhetsåtagande Output: Slutgiltigt Tekniskt ackrediteringsunderlag IT-säkerhetsdeklaration Produktion Leverantör Output: Lev Tekniskt ackrediteringsunderlag ISU IT-säkerhetsutlåtande ISU-plan
Scope för ackrediteringsarbetet Omfattning Definition och exempel Hur Obligatoriskt Signalskydds - produkter Anpassad Full Ackrediteringsarbetet sköts av projektet och separat godkännande utfärdas av MUST. Används vid utveckling av signalskyddsprodukter som enskild komponent. Signalskyddskomponenter är integrationsprodukter och påverkar därför såväl kommunikations- som applikationssystem och skall följa relevanta standarder. Används i de fall då redan godkända system skall återanvändas eller uppdateras. Används även vid utveckling av vissa komponenter. Används när nya system skall utvecklas. Användningsfall och funktionella krav kommuniceras vid beslutspunkter till SysGL I dessa fall genomförs en deltaanalys av respektive systems STAU. Deltat behandlas och beskrivs i STAU. Om deltaanalysen visar på stor förändring av säkerhetslösningen skall ambitionsnivå Full gälla. ISD-processen följs fullt ut. ISD-plan STAU 4 ISD ISD-plan STAU 4 ISD
ISD ISD - Process - Granskning Input Säkerhetsmålsättning TTEM ISD -styrning internt FMV Granskning TC Granskning PrL Granskning PrL TC avseende granskningsplan Granskning TC Initial Analys Kravspec/ upphandling Produktion Leverans FM MUST erbjuds möjlighet att lämna synpunkter MUST erbjuds möjlighet att lämna synpunkter MUST erbjuds möjlighet att lämna synpunkter Output: Kravfångst Ackrediteringplan Output: IT säkarkitektur) Teknisk spec VÅ Output: Lev ackrediteringsunderlag Ackrediteringsplan IT säkerhetsutlåtande Output: Slutgiltigt Tekn ackredunderlag ISD deklaration
Sys GL - Systemgranskningsledare Instruktion åt projektet i form av ISD-styrning internt FMV. Övervakar graden av oberoende i projektets ISD-process. Sys GL upphandlas externt eller en resurs inom Teknisk Ledning. Deltagarna i AG-ISD = Sys GL inom respektive domän.
Metodstöd ISD Management Säkerhetsmålsättning IT- Säkerhetsarkitektur Verksamhetsåtagande Oberoende granskning STAU/ ITSS KSF 3.0 IT-styrning FMV VHL
Verksamhetsåtagande Krav på: Planering av IT-säkerhetsarbetet (ISPP) Test och verifiering Ändringshantering Roller och organisation Nedbrytning av IT-säkerhetsarkitektur Milstolpeleveranser
Oberoende granskning Granskningsplan Scope Roller Resultat Realiserbarhet Granskningsrapport Vilka slutsatser kan beställaren dra?
Ramavtal Position 1: Analyser, Säkerhetsmålsättning Position 2: Oberoende granskning Position 3: Common Criteria Position 4: Förenklad evaluering Position 5: Processen
Mer info Se FMV Sharepoint, Communities, ISD. Eller kontakta Dan dan.olofsson@fmv.se Sys GL IA AK Led Tekn Ledn PrL ISD 070-682 5904