COntrolled INformation Security (COINS)

Relevanta dokument
Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Myndigheten för samhällsskydd och beredskaps författningssamling

ISO/IEC och Nyheter

Modellering och mätning avseende informationssäkerhet. En populärvetenskaplig sammanfattning av projektet COINS

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Nya krav på systematiskt informationssäkerhets arbete

Vilket mervärde ger certifiering dig?

Svensk Standard SS ISO/IEC SS

Ledningssystem för IT-tjänster

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Finansinspektionens författningssamling

Ledningssystem för Informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Malmö Högskola Sammanfattning

Fortsättning av MSB:s metodstöd

Informationssäkerhetspolicy. Linköpings kommun

Ledningssystem för Informationssäkerhet

Regler och instruktioner för verksamheten

Finansinspektionens författningssamling

Verket för förvaltningsutvecklings författningssamling ISSN Utgivare: Lena Jönsson, Verva, Box 214, Stockholm

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Policy för informationssäkerhet

Informationssäkerhetspolicy inom Stockholms läns landsting

Myndigheten för samhällsskydd och beredskaps författningssamling

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Koncernkontoret Enheten för säkerhet och intern miljöledning

FÖRESKRIFT OM RISKHANTERING OCH ÖVRIG INTERN KONTROLL I VÄRDEPAPPERSFÖRE- TAG

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Vetenskapsrådets informationssäkerhetspolicy

Svar på revisionsskrivelse informationssäkerhet

Organisation för samordning av informationssäkerhet IT (0:1:0)

Finansinspektionens författningssamling

Välkommen till enkäten!

Bilaga 2 - Ansvarsbeskrivningar Regler för informationssäkerhet vid Karolinska Institutet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Informationssäkerhetspolicy

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Informationssäkerhetspolicy för Umeå universitet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Riktlinje Informationssäkerhet Landstinget Sörmland beslutad LS 12/13

Informationssäkerhetspolicy för Ystads kommun F 17:01

I Central förvaltning Administrativ enhet

Informationssäkerhetsanvisningar Förvaltning

Övergripande säkerhetsgranskning av kommunens säkerhet angående externa och interna dataintrång. Klippans kommun

Dnr

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

SIS tre produktområden

Granskning av IT-säkerhet

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Nyheter i ISO och 14004

Policy och strategi för informationssäkerhet

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Ledning och styrning av IT-tjänster och informationssäkerhet

Intern styrning och kontroll. Verksamhetsåret 2009

Informationssäkerhetspolicy KS/2018:260

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Bilaga till rektorsbeslut RÖ28, (5)

Informationssäkerhet - Informationssäkerhetspolicy

Myndigheten för samhällsskydd och beredskap

Remissvar till Ju2015/2650/SSK, betänkandet SOU 2015:23 Informations- och cybersäkerhet i Sverige Strategi och åtgärder för säker information i staten

Riktlinjer för informationssäkerhet

Skapa ett ledningssystem för informationssäkerhet (LIS) enligt nya ISO/IEC eller konsten att införa LIS

Informationssäkerhetspolicy

Hantering av behörigheter och roller

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Nytt metodstöd för systematiskt informationssäkerhetsarbete. Revidering av MSB:s metodstöd. Per Oscarson, Oscarson Security AB Carl Önne, MSB

Granskning av IT-säkerhet

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Hantering av IT-risker

Informationssäkerhetspolicy för Ånge kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Riktlinje för informationssäkerhet i Skövde kommun motsvarar Informationssäkerhetspolicy enligt BITS såsom Myndigheten för samhällsskydd och

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

POLICY INFORMATIONSSÄKERHET

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Riktlinjer för informationssäkerhet

Strukturerat informationssäkerhetsarbete

Granskning av informationssäkerhet

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Policy för intern styrning och kontroll

Business research methods, Bryman & Bell 2007

Övergripande granskning av ITverksamheten

Administrativ säkerhet

FÖRHINDRA DATORINTRÅNG!

Granskningsredogörelse Styrning och intern kontroll översiktlig granskning

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Rätt säkerhet Incident

IT-plan för Söderköpings kommun

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Program för informationssäkerhet 2008:490. kommunfullmäktige kommunstyrelsen övriga nämnder förvaltning

Transkript:

COntrolled INformation Security (COINS) Jonas Hallberg, Sofie Pilemalm, Kristoffer Lundholm, Helena Granlund FOI, Avdelningen för Informationssystem Louise Yngström, Yngve Monfelt, Alan Davidson, Margaretha Eriksson, Stewart Kowalski, Tove Wätterstam, Robert Hoffmann, Rostyslav Barabanov SU, Data- och systemvetenskap

Upplägg Syfte och grundidé Resultat Modelleringstekniker avseende kommunikation av informationssäkerhetsfrågor Informationssäkerhetsmetriker baserade på textanalys och klassificering av utsagor Kvantitativ analys av informationssäkerhetskommunikation Kvalitativ analys av informationssäkerhetskommunikation Metod för framtagande av informationssäkerhetsmetriker Ramverk för interorganisatoriska jämförelser av informationssäkerhetsoch metrikprogram Roadmap för framtida forskning inom området Observationer och slutsatser

Syfte Syftet med projektet är att stärka myndigheters förutsättningar att: uppnå adekvata säkerhetsnivåer samt visa att säkerhetsfrågor behandlas ändamålsenligt

Grundidé Knowledge about information security Staff Information security Perceived information security Organizational units Other organizations Regulatory authorities Actions Trust Assumptions about information security The public

Utgångspunkt för myndigheters arbete med informationssäkerhet 6 En myndighets arbete enligt 4 och 5 ska bedrivas i former enligt följande etablerade svenska standarder för informationssäkerhet; Ledningssystem för informationssäkerhet Krav (SS-ISO/IEC 27001: 2006 fastställd 2006-01-19), och Riktlinjer för styrning av informationssäkerhet (SS-ISO/IEC 27002:2005 fastställd 2005-08-12)., MSBFS 2009:10 ISO/IEC 27000-serien 27000 Definitioner 27001 Krav vid skapande och införande av LIS 27002 Förklaringar och tips vid användande av åtgärder 27003 Guide för skapande och införande av LIS 27004 Mätning och uppföljning av åtgärder 27005 Krav på metoder för riskhantering

ISO/IEC 27001, bilaga A 133 åtgärder grupperade i 11 avsnitt A5 Säkerhetspolicy A6 Organisation ifråga om informationssäkerhet A7 Hantering av tillgångar A8 Personal och säkerhet A9 Fysisk och miljörelaterad säkerhet A10 Styrning av kommunikation och drift A11 Styrning av åtkomst A12 Anskaffning, utveckling och underhåll av informationssystem A13 Hantering av informationssäkerhetsincidenter A14 Kontinuitetsplanering i verksamheten A15 Efterlevnad

Projektupplägg

Modelleringstekniker avseende kommunikation av informationssäkerhetsfrågor 14-lagersramverk 3-nivåorganisationsmodell Kubmodell Environment Social Technical Referensmodell Entitet-aktivitetsmodell Strategic Tactical Plan Operate Control Operational

Informationssäkerhetsmetriker baserade på textanalys och klassificering av utsagor Metriker baserade på: Environment Social Technical Kubmodellen Fördelning över kluster med 1, 3 eller 9 av de 27 delkuberna Referensmodellen Jämförelse med bilaga A i ISO/IEC 27001 Entitets-aktivetetsmodellen Strategic Tactical Operational Plan Operate Control A5 Säkerhetspolicy A6 Organisation A7 Tillgångar A8 Personal A9 Fysisk & miljörelater A10 Kommunik och drif A11 Åtkomst A12 Anskaff, utv & unde A13 Incidenter A14 Kontinuitetspl A15 Efterlevnad A10 A12 A11 A8 A15 A9 A13 A14 A6 A7 A5

Kvantitativ analys av informationssäkerhetskommunikation Analyser baserade på: Kubmodellen Referensmodellen Entitets-aktivetetsmodellen

Fördelning av åtgärder i ISO/IEC 27001 (bilaga A) Strategic Environment Social Technical Ev So Te Operate Plan Control Strategic Plan Operate Control Tactic Tactical Control Ev So Te Operate Plan Operational Operational Operate Plan Control Ev So Te

Jämförelse av standard, dokument och intervjuer 90 80 70 60 50 40 LIS Policy Praxis 30 20 10 0 Pl Op Co St Ta Op Ev So Te Environment Social layers Technical layers Environment Social layers Technical layers Environment Social layers Technical layers Strategical Plan Operate Control Strategical Plan Operate Control Strategical Plan Operate Control Tactical Tactical Tactical Operational Operational Operational

Referensmodellen Policy Praxis A10 A12 A11 A8 A15 A9 A13 A14 A6 A7 A5 A5 Säkerhetspolicy A6 Organisation A7 Tillgångar A8 Personal A9 Fysisk & miljörelater A10 Kommunik och drif A11 Åtkomst A12 Anskaff, utv & unde A13 Incidenter A14 Kontinuitetspl A15 Efterlevnad A10 A12 A11 A8 A15 A9 A13 A14 A6 A7 A5

Kvalitativ analys av informationssäkerhetskommunikation Dokumentanalys Styrande dokument, 5 st. Normativ vy Åtta områden Tre set med semistrukturerade intervjuer Longitudinell studie, 2008, 2010 och 2011 Åtta områden Year Respondents on three executive levels Interview guide Exe-0 Exe-1 Exe-2 2008 A B C Exploratory 2010 A -- C and D 8 categories 2011 D and E -- 8 categories, organisational change, metrics

Dokumentanalys (normativt perspektiv) IS förknippas främst med teknik och systemutveckling (2008) Ansvar för IS läggs på myndigheten generellt, tilldelas ej till specifika roller (2008) IS ej integrerat i arbete runt systemutveckling eller organisationsförändring (2008) Brist på normativ guidning av IS arbete (2008) Handböcker (2010) Uppdatering av handböcker (2011)

Intervjuanalys (praktiker perspektiv), 1/6 Informationssäkerhet, kommunikationsstruktur IS kommuniceras hierarkiskt. Strukturen utgjorde hinder för kommunikation från strategisk till operativ nivå, och vice versa (2008) Den dysfunktionella kommunikationsstrukturen kvarstår (2010) Det finns informella kommunikationskanaler, baserade på personliga nätverk, initierade av incidenter (2010) Kommunikationen till högsta ledningen fungerar regelbundet (2011) Informationen når till rätt nivå regelbundet (2011)

Intervjuanalys (praktiker perspektiv), 2/6 Generellt informationssäkerhetsarbete IS får inte uppmärksamhet från högsta ledningen (2008) Inriktningen mot teknik har i viss mån gett vika för en ökad medvetenhet om administrativ IS (2010) IS ges uppmärksamhet från högsta ledningen (2011)

Intervjuanalys (praktiker perspektiv), 3/6 Strategiskt Informationssäkerhetsarbete Verkställande chef har övergripande ansvar för IS och stöds av roller definierade i myndighetens direktiv, men kunskapen fanns bara på ledningsnivå (2008) Det formella ansvaret för IS är oförändrat (2010) Chefer på myndigheten har deltagit i en gemensam IS utbildning (2010) Respondenterna är överens om att LIS inte fungerar (2010) Riktlinjer för ett LIS skall färdigställas och presenteras för högsta ledningen (2010) IS riktlinjer, direktiv och instruktioner finns och är planerade att ses över ( 2011) Ett LIS är planerat (2011)

Intervjuanalys (praktiker perspektiv), 4/6 Operativt informationssäkerhetsarbete Operativ nivå har otillräcklig kunskap om IS (2008) Erhåller ingen IS utbildning vi nyanställning (2008) IS är inte synligt i systemen (2008) En översyn av IS planeras i myndighetens reguljära utbildningsväsende (2010) Anställda har fått IS utbildning (2011)

Intervjuanalys (praktiker perspektiv), 5/6 Bedöma informationssäkerhet Det finns ingen uppföljning eller systematisk process för att bedöma och utvärdera IS (2008) IS anses svår att mäta och bedöma och "kontroller" har en negativ association (2008) Det utförs inga åtgärder vid felanvändning (2008) Uppföljning och kontinuitet efterfrågas av alla nivåer, men utförs inte systematiskt (2010) Uppföljning "uppåt" ses som en möjlighet för ledningen att analysera sina försök att hantera arbetet informationssäkerhet i organisationen (2010) Uppföljning "nedåt" ses som en uppmuntran för incident anmälningar och allmän efterlevnad (2010) Uppföljning utförs inte (2011) IS relaterade kontrollpunkter finns vid systemutveckling (2011)

Intervjuanalys (praktiker perspektiv), 6/6 Behov av informationssäkerhet Frågor om rättigheter och tillgång till system, vilka kräver olika nivåer av säkerhet, behöver uppmärksammas (2008) Utbildning behövs på alla nivåer (2008) Kontinuitet i återkommande möten med personal på alla nivåer (2008) Enhetlig administration av åtkomsträttigheter i alla system (2010) LIS och återkommande möten med personal (2010) Operativ personal behöver utbildning (2010) Ett allmänt behov av uppföljning av IS (2010) Ett system för klassificering av information i IT-system behövs, samt efterlevnad och acceptans bland de anställda (2011) IS påverkan vid utveckling av system är formaliserad, men IS ses som försvårande av operativa arbetet (2011)

Kvalitativ analys Rekommendationer Kommunikation och återkoppling på alla organisatoriska nivåer Tydliggörande av roller och ansvar Utbildning och information Funderingar runt organisationsstruktur och arbetsfördelning Decentralisering Mer transparenta organisationsgränser Framtida systemutveckling bör involvera den operativa personalen och utgå från deras dagliga aktiviteter, rutiner, behov och beslutsfattande

Metod för framtagande av informationssäkerhetsmetriker Informationssäkerhetsmetriker Skall ge underlag för beslut Består av Storhet Skala Tolkning Motsvaras av konceptet measurement construct i standarden ISO/IEC-27004

ISO/IEC 27004 Object of Measurement (O) Attribute (A) Measurement Method (M) Base Measure (B) Measurement Function (F) Derived Measure (D) Analytical Model (AM) Indicator (I) Decision Criteria (DC) Measurement results

Syfte med delstudien Tillämpa ISO 27004 på riktigt Ta fram metriker på en myndighet Undvika den komplexitet som uppstår vid framtagandet av generella metriker Studera kombinationen av nytta och genomförbarhet

Metod baserad på behovsanalys och deltagande design Tillvägagångssätt Identifiera åtgärder att mäta på Intervjua relevanta respondenter Skriv första utkast Uppföljning och vidare intervjuer Färdigställande av metriker Mätning Sammanställning och rapportering

Exempel: Metrik för Utbildning Åtgärd Alla anställda, leverantörer samt utomstående användare skall få erforderlig utbildning om relevanta policies och rutiner Ingen gemensam rutin för utbildning av anställda Respondentens enhet har utbildningsprogram för konsulter Hur stor del av konsulterna genomgår utbildning? 100% - OK 100% - 90% Är det återkommande konsulter? 90% - 0% Undersök orsaken

Resultat: Utbildning av konsulter Andel utbildade konsulter 100% 90% 80% 70% 60% 50% Andel utbildade konsulter 40% 30% 20% 10% 0% Oktober November

Observationer & Slutsatser Påföljden för metriker är undersökande/rapporterande Påföljder väljs inom skaparens befogenheter Inför metrikprogram evolutionärt Hitta de mest kritiska åtgärderna Mät på nuvarande mognadsnivå Förbättra datainsamling

Ramverk för interorganisatoriska jämförelser av informationssäkerhets- och metrikprogram Motivering: IS, metriker, bedömning och utvärdering där förordningar och standarder beaktas kräver reflektion för att utvecklas. Reflektion och diskussion mellan organisationer skulle stödjas av ett gemensamt avidentifierat ramverk Gemensamt lärande och delade erfarenheter Intern uppföljning i den egna organisationen av den egna utvecklingen av mognad av informationssäkerhetsprogram ISO/IEC 27001 och 27004, samt NIST mognadstrappa

NIST mognadstrappa

Ramverk, exempel The 133 Controls of ISO/IEC 27001 The information security program Metrics Program Information Security Program Excluded Controls Metrics maturity level Non existent Can be collected Available 38% 9% 38% 9% 2% 9% In standardized repository 15% 4% 35% 41% Task fulfillment Non existent Can be collected Available 9% 26% 12% 38% In standardized repository Satisfactory, no action required 10% 5% Insufficient, action required

Ramverk, slutsatser Avskalat på information Ramverket i sig innebär inte stora initiala arbetsinsatser, det gör arbetet med SoA och metrikprogram. Börja smått, arbeta parallellt Ramverket kan initialt användas utan SoA, utan fast jämförelsepunkt.

Roadmap för framtida forskning inom området Området är under stark utveckling Fortfarande är det dock relativt omoget Viktiga delområden där mer forskning behövs Representation av mätdata och dess tranformation till sammansatta värden Organisationers behov och hur dessa ska utvinnas Relationer till de processer och metoder som nyttjar erhållna resultat Praktiskt nyttjande av framtagna riktlinjer, metoder och tekniker

Publikationer Rapporter, 11 st Artiklar, 14 st Accepterade, 10 st Inskickade, 4 st Hemsidor FOI: www.foi.se/coins DSV: https://secprj.dsv.su.se/coins

Observationer & Slutsatser Viktigt att uppnå och visa på adekvata säkerhetsnivåer Teoretiskt arbete: kommunikationsmodeller och tillhörande metriker ISO/IEC 27000 är krävande inte minst avseende att mäta och följa upp Inför metrikprogram evolutionärt Koppling till målbild och användarmedverkan central Nödvändigt med stöd för reflektion och lärande Måste få ta tid och resurser samt ha kontinuitet Mer forskning behövs avseende metoder och teknik, men framförallt avseende användning av dessa

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss