Riktlinjer för informationssäkerhet



Relevanta dokument
Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Riktlinjer för IT-säkerhet i Halmstads kommun

Bilaga till rektorsbeslut RÖ28, (5)

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Ledningssystem för Informationssäkerhet

RUTIN FÖR RISKANALYS

Informationssäkerhetspolicy inom Stockholms läns landsting

Handbok Informationsklassificering

Ledningssystem för Informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Ystads kommun F 17:01

BESLUT. Instruktion för informationsklassificering

SÄKERHETSPOLICY FÖR VÄSTERVIKS KOMMUNKONCERN ANTAGEN AV KOMMUNFULLMÄKTIGE , 8

Riktlinje för säkerhetsarbetet i Norrköpings kommun

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Plan för informationssäkerhet vid Högskolan Dalarna 2015

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

FÖRFATTNINGSSAMLING Flik Säkerhetspolicy för Vingåkers kommun

Säkerhetspolicy för Västerviks kommunkoncern

1(6) Informationssäkerhetspolicy. Styrdokument

KOMMUNALA STYRDOKUMENT

Informationssäkerhetspolicy IT (0:0:0)

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Administrativ säkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riktlinjer för Hässleholms kommuns säkerhet och beredskap mandatperiod

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Vilken säkerhetsnivå skall jag välja?

Vägledning RSA EM-hot. Metodstöd vid genomförande av RSA m.a.p. EM-hot

Riktlinjer för säkerhetsarbetet

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Uppstartsträff RSA Steg 2

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Informationssäkerhetspolicy IT (0:0:0)

Finansinspektionens författningssamling

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

ISD - IT-säkerhetsdeklaration. Information till SESAME Dan Olofsson PrL ISD

Regler och instruktioner för verksamheten

Informationssäkerhetspolicy

Finansinspektionens författningssamling

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Policy för informationssäkerhet

Riktlinjer. Informationssäkerhetsklassning

RISKHANTERING FÖR SCADA

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

IT-säkerhet Externt och internt intrångstest

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Analyser. Verktyg för att avgöra vilka skydd som behövs

Remiss angående säkerhetspolicy med tillhörande riktlinjer

Regler och riktlinjer för IT-säkerhet vid Karolinska Institutet

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Skärpta krav för informationssäkerhet, IT-verksamhet och insättningssystem. Jonas Edberg och Johan Elmerhag 20 maj, GRC 2015

Informationssäkerhetspolicy

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Säkerhetspolicy för Kristianstad kommun

IT-säkerhet Internt intrångstest

FORSA en mikrokurs. MSB:s RSA-konferens, WTC,

Konferens om risk-och sårbarhetsanalyser 2015 Stockholm -World TradeCenter -4 maj 2015

Rutiner för fysisk säkerhet

Informationssäkerhetspolicy KS/2018:260

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

SOLLENTUNA FÖRFATTNINGSSAMLING

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Metodbeskrivning - Riskbedömning av lyftanordningar och lyftredskap enligt AFS 2006:6

Begrepp och definitioner

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

SOLLENTUNA FÖRFATTNINGSSAMLING 1

Informationssäkerhetspolicy för Ånge kommun

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Systemförvaltning. där delarna bli till en helhet. Styrning. Organisation. Processer. Jessika Svedberg, Kommunkansliet

Ansvar och roller för ägande och förvaltande av informationssystem

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

System- och objektförvaltning - roller

Informationssäkerhetspolicy S/~LA KOMMUN KOMMUNFULLMÄKTIGE. Bi l aga KS 2015 / 135/1 INFORMATIONSSÄKERHETSPOLICY FÖR SALA KOMMUN

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Anslutningsavtal. inom Infrastrukturen för Svensk e-legitimation. Bilaga 4 Rapporteringsrutiner. för Utfärdare av Svensk e-legitimation

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Lokal informationssäkerhetspolicy för hälso- och sjukvårdsförvaltningen

Nationell strategi för skydd av samhällsviktig verksamhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Transkript:

UFV 2012/715 Riktlinjer för informationssäkerhet Anvisningar för genomförande av risk- och hotbildsanalyser Fastställd av: Säkerhetschef 2012-04-02

Innehållsförteckning 1 Riskanalyser av systemförvaltningsobjekt eller enskilda informationssystem 3 1.1 Konsekvensanalys (workshop 1) 3 1.1.1 Omfattning 3 1.1.2 Terminologi 3 1.1.3 Skadetyper 4 1.1.4 Metodik 4 1.1.5 Exempel på typskador 4 1.1.6 Exempel på skadekostnader 5 1.1.7 Instruktioner och blanketter 5 1.2 Säkerhets- och sårbarhetsanalys (workshop 2) 6 1.2.1 Omfattning 6 1.2.2 Instruktioner och blanketter 6 2 Riskinventering (nulägesanalys) 7 2.1 Omfattning 7 2.2 Instruktioner och blanketter 7 3 Riskanalyser i systemutvecklings- eller anskaffningsprojekt 8 3.1 Omfattning 8 3.2 Instruktioner och blanketter 8 2

1 Riskanalyser av systemförvaltningsobjekt eller enskilda informationssystem 1.1 Konsekvensanalys (workshop 1) Som det första steget i en riskanalys genomförs en konsekvensanalys för bedömning av hur berörd verksamhet skulle drabbas av skador på IT-verksamheten såsom Systemen fungerar inte Data förloras Data blir fel Data sprids till fel mottagare Konsekvensanalysen ska genomföras som en workshop under ledning av en processledare (risk manager eller motsv). Om analysen avser ett systemförvaltningsobjekt är deltagande av rollerna objektägare och objektansvarig obligatoriskt. För ett enskilt informationssystem gäller motsvarande för systemägare och systemansvarig. 1.1.1 Omfattning Konsekvensanalysen bör omfatta följande arbetsteg: Inledning o Mål med riskanalyserna o Arbetssätt och terminologi Kritiska processer (verksamhetsstöd) o IT-beroendet i de kritiska processerna o Kritiska IT-komponenter i processerna (verksamhetsstödet) Hotanalys o Signifikanta hot mot IT-komponenterna o Andra hot mot processerna (verksamhetsstödet) Skadetyper o Diskussion av relevanta typskador för den fortsatta analysen Konsekvensanalys (BIA Business Impact Assessment) 1.1.2 Terminologi Händelse (incident, störning) - En oönskad händelse med negativa effekter på universitetet Hot - En tänkbar/möjlig händelse som skulle kunna inträffa 3

Sannolikhet - Sannolikheten för att en händelse ska inträffa (att ett hot ska resultera i en händelse) Konsekvens - De sammantagna konsekvenserna av en händelse inkluderande direkta och indirekta kostnader, förtroendeskador, vikande studentantal, minskade forskningsmedel Risk - Sammanvägning av konsekvens och sannolikhet för en händelse 1.1.3 Skadetyper Avbrott i funktion eller tillgänglighet hos IT-system (exempel: tekniska fel, elavbrott, programfel, virusangrepp, etc) Förlust av data (exempel: diskkrasch, fel vid programuppdatering, etc) Fel i data (exempel: programfel, handhavandefel Bedrägerier (fraud) (exempel: obehöriga utbetalningar, manipulation av tentaresultat, etc) Sekretessproblem (exempel: borttappade USB-minnen, dataintrång, etc) 1.1.4 Metodik Följande metodsteg rekommenderas för genomförande av konsekvensanalysen: Avgränsning, beskrivning av analysobjekt e.d. Identifiering av hot o Identifiering av möjliga hot o Avgränsning till signifikanta hot o Identifiering av de skador hoten kan resultera i Identifiering av typskador för analysen o Skador som bedöms relevanta att analysera Analys av konsekvenserna av typskadorna (BIA, Business Impact Assessment) o De sammantagna konsekvenserna av olika skador, inkluderande direkta och indirekta kostnader, förtroendeskador, vikande studentantal, minskade forskningsmedel etc. o Detaljerad analys av konsekvenserna för varje typskada för sig Sannolikhetsbedömning o Sammanvägning av de hot som kan resultera i olika typskador Sammanfattande riskanalys o Sammanvägning av konsekvens och sannolikhet för typskadorna Alternativt bedömning av sannolikhet och konsekvens för enskilda hot (kan användas för att avgöra behovet av enskilda skyddsåtgärder) 1.1.5 Exempel på typskador Följande exempel kan användas vid bedömning av konsekvensen av olika typer av skador. Typskadorna ska väljas så att de är relevanta för den verksamhet som analyseras (t.ex. vid bedömning av konsekvenser av driftsavbrott). Avbrott i funktion, tillgänglighet eller användbarhet hos ett system 4

o 5 minuters avbrott o 30 minuters avbrott o 4 timmars avbrott o 2dagars avbrott o 1 veckas avbrott Förlust av data (förlust av nyss inmatade data/förändringar) o 24 timmars indata/förändringar förlorade (t.ex. vid återställning från backup) Förlust av data (förlust av databas e.d.) o Förlust av en hel databas e.d. Fel i data o Omfattande fel i en databas e.d. (t.ex. pga. programfel) 1.1.6 Exempel på skadekostnader Vid bedömning av konsekvenserna av skador är det praktiskt att använda en enkel skala för skadekostnaderna. Skalan ska väljas så att den är relevanta för den verksamhet som analyseras. Minsta och största skadekostnad ska kännas rimliga för analysen. Ett exempel redovisas nedan. Kod Sammantagna konsekvenser Ungefärlig kostnad totalt E Katastrofala > 5 000 000 SEK D Mycket allvarliga ~ 1 000 000 SEK C Allvarliga ~ 200 000 SEK B Kännbara ~ 50 000 SEK A Obetydliga < 10 000 SEK 1.1.7 Instruktioner och blanketter Bilaga 1a - Instruktion för konsekvensanalys Bilaga 1b - Blankett för konsekvensanalys 5

1.2 Säkerhets- och sårbarhetsanalys (workshop 2) Vid den andra workshopen i riskanalysen en riskanalys görs en säkerhets- och såbarhetsanalys för bedömning av berörda IT-systems Nuvarande säkerhetsnivå Önskade säkerhetsnivå Kända sårbarheter/brister i säkerheten Behov av förbättringsåtgärder Workshopen leds av en processledare (risk manager eller motsv) med erforderlig kompetens och erfarenhet av universitetets LIS. Samma deltagare som vid konsekvensanalysen bör delta, samt av objektägaren utsedda specialister inom IT-drift, systemutveckling eller systemanvändning. 1.2.1 Omfattning Säkerhets- och sårbarhetsanalysen bör omfatta följande arbetsteg: Inledning o Arbetssätt o Sammanfattning av den tidigare konsekvensanalysen (workshop 1) Komplettering av konsekvensanalysen o Infrastruktur (nät, Internetaccess, PC etc.) o Mail och ev. andra gemensamma tjänster Säkerhets- och sårbarhetsanalys o Krav på säkerhetsnivå o Nuläge säkerhetsnivå o Kända sårbarheter o Åtgärdsförslag 1.2.2 Instruktioner och blanketter Bilaga 2a - Instruktion för säkerhets- och sårbarhetsanalys Bilaga 2b - Blankett för säkerhets- och sårbarhetsanalys 6

2 Riskinventering (nulägesanalys) Att göra en risinventering innebär en enklare form av riskanalys där syftet är att göra en bedömning av nuvarande säkerhetsstatus på berört/berörda IT-system och IT-komponenter samt vilka kända hot och sårbarheter som föreligger. Riskinventeringen genomförs som en workshop under ledning av en processledare (risk manager eller motsv) med deltagande av systemägare och systemansvarig (eller motsv) samt specialister inom ITdrift, systemutveckling eller systemanvändning. 2.1 Omfattning Riskinventeringen bör omfatta följande arbetsteg: Specificering av det objekt som ska analyseras. Detta kan vara ett förvaltningsobjekt, ett enskilt IT-system eller en infrastrukturtjänst. o IT-komponent o Delkomponent Specificerade eller bedömda säkerhetskrav per IT-komponent eller delkomponent o Tillgänglighet o Sekretess o Övrigt Bedömd säkerhetsstatus Kända hot och sårbarheter 2.2 Instruktioner och blanketter Bilaga 3 - Blankett för riskinventering 7

3 Riskanalyser i systemutvecklings- eller anskaffningsprojekt Att identifiera säkerhetsrelaterade risker så tidigt som möjligt under systemets livscykel, helst under kravspecificeringen, är viktigt. Dels för att kunna eliminera eller reducera risken att ett reellt hot uppstår, dels för att ju tidigare en risk identifieras desto billigare är den att åtgärda. 3.1 Omfattning En informationsriskanalys i ett systemutvecklings- eller anskaffningsprojekt bör omfatta följande arbetssteg: Bedömning av informationssäkerhetsrisker inkl. sannolikhet och påverkan (konsekvens) om de utfaller i reella skador projektets eller verksamhetens mål o Policy, riktlinjer och/el instruktioner o Beställare o Ägarskap o Säkerhetsmedvetande o Informationsklassificering o Riskanalys o Serviceavtal o Verksamhetskompetens o IT-kompetens o Systemkonfiguration o Backup- och restorerutiner o Kontinuitetsplanering o Fysisk säkerhet o Teknisk säkerhet o Logisk säkerhet (behörighetskontroll) o Ändringshantering o Driftsgodkännande/-sättning o Problemhantering o Periodisk granskning (säkerhetsanalyser) o Övrigt Åtgärder för att eliminera eller reducera identifierade risker 3.2 Instruktioner och blanketter Bilaga 4 - Risklista informationssäkerhet 8

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss