Ett säkrare samhälle i en föränderlig värld Signalskydd Vad är signalskydd och på vilket sätt kan signalskydd stödja er verksamhet?

Relevanta dokument
Ett säkrare samhälle i en föränderlig värld Signalskydd Vad är signalskydd och på vilket sätt kan signalskydd stödja er verksamhet?

Säkerhetsskydd. Skydda det mest skyddsvärda. Roger Forsberg, MSB

Vägledning för säker och robust samverkan

Totalförsvarets Signalskyddsskola (TSS) Kurskatalog Fastställd Utgåva 3

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARETS FÖRFATTNINGSSAMLING

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Säkerhetsskydd en översikt. Thomas Palfelt

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Krav för signalskyddssystem avsedda för Totalförsvaret

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

FÖRSVARETS FÖRFATTNINGSSAMLING

Beslut. HÖGKVARTERET Datum Beteckning FM :1 Sida 1 (5) Ert tjänsteställe, handläggare Ert datum Er beteckning Signalskydd

Kurskatalog 2016 Utgåva 2

Kurir för it-incident rapportering Hanteringsregler. Myndigheten för samhällsskydd och beredskap PM 1 (7)

FÖRSVARETS FÖRFATTNINGSSAMLING

Informationssäkerhetspolicy

Informationssäkerhetspolicy KS/2018:260

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Informationssäkerhetspolicy IT (0:0:0)

Regler för lagring av Högskolan Dalarnas digitala information

Informationssäkerhet en förutsättning för effektiv digitalisering. Moderator: William Linnefell, Ekonomistyrningsverket

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Dnr UFV 2017/93. Informationssäkerhet. Riktlinjer för säkerhetsarbetet vid Uppsala universitet. Fastställda av Universitetsdirektören

Bilaga 3 Säkerhet Dnr: /

Riktlinjer för informationssäkerhet

FÖRFATTNINGSSAMLING. Försvarsmaktens föreskrifter om skydd för utrikes- och sekretessklassificerade uppgifter och handlingar;

Riktlinjer för IT-säkerhet i Halmstads kommun

Scandinavian Risk Solutions Creating Value by Protecting Assets

Informationssäkerhetspolicy inom Stockholms läns landsting

Nationell risk- och förmågebedömning 2017

Ny samverkan till stöd vid upphandling av kryptolösningar

Kurskatalog 2017 Utgåva 1

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Överenskommelse om kommunernas arbete med civilt försvar

Kurskatalog 2017 Utgåva 4

Säkerhetsskyddsplan. Fastställd av kommunfullmäktige

Informationssäkerhetspolicy för Ystads kommun F 17:01

Informationssäkerhet. Hur skall jag som chef hantera detta?? Vad är det??

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Mälardalens högskola 2010.

Vad får man lämna ut om dricksvattenförsörjningen i form av kartor och handlingar? Ann-Sofie Wikström Vatten & Miljöbyrån, Luleå

Policy för säkerhetsskydd

Överenskommelse om landstingens arbete med krisberedskap och civilt försvar

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Verksamhetsplan Informationssäkerhet

Kryptosamverkan. Träffpunkt CC Försvarets Materielverk/CSEC 2008 Document ID CB-039 Issue 0.4 SWEDISH CERTIFICATION BODY IT SECURITY

Beslut. Vårt tjänsteställe, handläggare Vårt föregående datum Vår föregående beteckning Daniel Kuehn, FM :2

ÅNGE KOMMUN Informationssäkerhetspolicy 1 (5) Kommunkansliet Antagen av Kommunfullmäktige , 14 Dnr ks 09/20. Innehållsförteckning

Samhällets informationssäkerhet

TMALL 0141 Presentation v 1.0. Cybersäkerhet och ny lagstiftning

Informationssäkerhet Informationssäkerhet. Medicinteknisk säkerhetskurs

Myndigheten för samhällsskydd och beredskaps författningssamling

Informationsklassning och systemsäkerhetsanalys en guide

Att skydda det mest skyddsvärda

Riktlinjer för säkerhetsarbetet vid Uppsala universitet

Informationssäkerhetspolicy för Ånge kommun

Allmänt säkerhetsarbete. Informationssäkerhet. Dokumentnamn och uppdateringsinfo

Vervas föreskrift om statliga myndigheters arbete med säkert elektroniskt informationsutbyte. Wiggo Öberg, tidigare Verva nu KBM,

Informationssäkerhetspolicy för Sunne kommun KS2016/918/01 Antagen av kommunfullmäktige , 57

Hur värnar kommuner digital säkerhet?

YTTRANDE 1 (5) Riskarkivets föreskrifter anger att överenskommelse eller avtal ska upprättas när handlingar hanteras av annan än myndigheten.

Informationssäkerhet och säkerhetsskydd

Justitiedepartementet Stockholm

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Transportstyrelsens föreskrifter om hantering av krypteringsnycklar och certifikat för tillverkning av digitala färdskrivare;

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

1(6) Informationssäkerhetspolicy. Styrdokument

Regelverk. Infrastrukturen för vidareförmedling av grundläggande uppgifter om företag. Bilaga D. Personuppgiftsbiträdesavtal. Version: 2.

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Posthantering och annan överföring av sekretessbelagd och integritetskänslig information

Din guide till en säkrare kommunikation

Introduktion till protokoll för nätverkssäkerhet

Rikspolisstyrelsens författningssamling

Anvisningar för användning av statlig ersättning för landstingens arbete med krisberedskap och civilt försvar

Informationssäkerhetspolicy i Borlänge kommunkoncern. Beslutad av kommunfullmäktige , reviderad

Policy för informations- säkerhet och personuppgiftshantering

Förslag till Myndigheten för samhällsskydd och beredskaps allmänna råd och kommentarer om krav på informationssäkerhet.

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Informationssäkerhet och earkiv Rimforsa 14 april 2016

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Hantering av behörigheter och roller

VÄGLEDNING INFORMATIONSKLASSNING

Rekryteringsmyndighetens interna bestämmelser

SÅ HÄR GÖR VI I NACKA

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

DNR: KS2016/918/01. Informationssäkerhetspolicy för Sunne kommun KS2016/918/ (1) Kommunstyrelsen

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Umeå universitet

Juridik och informationssäkerhet

1 (5) Säkerhetsskyddsplan för Motala kommun Antagen av kommunstyrelsen , 286

Kommunal författningssamling för Smedjebackens kommun. Informationssäkerhetspolicy. 97 Dnr 2016/00447

Myndigheten för samhällsskydd och beredskaps författningssamling

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Musikhögskolan i Stockholm 2010.

VGR-RIKTLINJE FÖR ÅTKOMST TILL INFORMATION

I n fo r m a ti o n ssä k e r h e t

Svensk författningssamling

Svensk författningssamling

Transkript:

Ett säkrare samhälle i en föränderlig värld Signalskydd Vad är signalskydd och på vilket sätt kan signalskydd stödja er verksamhet? Roger Forsberg roger.forsberg@msb.se 072-210 70 73 2

Signalskydd (Säkra kryptografiska funktioner) P R R A A T T A A T R A U T A N N A A K T OL T Å N Å G O O GO N O B O B E H H E Ö R Ö I R G D F Ö R R S T S S T Å RÅ R 3

Målsättning Efter lektionen ska elev ha god kunskap om: Vad är signalskydd När behövs signalskyddsystem och hur kan signalskydd vara en möjliggörare i verksamheten Vad gör signalskyddssystem bättre än andra krypton Vilka typer av signalskyddssystem finns idag Hur får man tillgång till signalskyddssystem 4

Signalskydd - vad är det? FM ska leda och samordna signalskyddstjänsten inklusive arbetet med säkra kryptografiska funktioner inom totalförsvaret System med kryptografisk funktion som har godkänts av Försvarsmakten för skydd av hemliga uppgifter FM är garant för att systemet gör vad det ska och inget annat samt att det skyddar upp till en fördefinierad nivå Signalskyddssystem består av Krypto (kryptomodul) Kryptonycklar, certifikat Systeminstruktion Tydligt regelverk Utbildad personal (behörig personal) För att upprätthålla skyddsnivån krävs det att alla i hela kedjan 5 följer gällande regelverk och instruktioner

Hur många bryter mot 7 i Säkskyddsförordningen, när man använder signalskydd? Vart börjar man? Säkerhetsskyddsanalysen Identifiera skyddsvärda tillgångar Identifiera hotbild Hur ser verksamhetens behov ut av att kunna förmedla de skyddsvärda tillgångarna, internt och externt, tal, data eller fax Omfattas de skyddsvärda tillgångarna av sekretess som rör rikets säkerhet, ska signalskyddssystem användas då dessa förmedlas utanför ett nät som organisationen har full kontroll över (logiskt och fysiskt) 13 i Säkerhetsskyddsförordningen framgår följande: Hemliga uppgifter får krypteras endast med kryptosystem som har godkänts av Försvarsmakten. 6

Hot mot våra tillgångar Bloggar Så väl inom Försvarsmakten Foto E-post Smart -phones På fredag sticker vi på en veckas uppdrag i det norra området. Vi har identifierat en mycket allvarlig brist i en standard PLC för eldistributionen! Kan snabbt lamslå stora delar av el-nätet i Sverige! Avlyssning Obehörigt intrång IT-sytem, LAN, wifi Molntjänst Vårdslös hantering Störningar, avbrott Digitala lagringsmedia Röjande signaler Varning! 7

Ledningssystem för informationssäkerhet LIS ISO 27000 Basnivå SKYDD AV INFORMATION Konfidentialitet, tillgänglighet, riktighet och spårbarhet Information som ej behöver särskilt skydd, kan vara blanketter som ska fyllas i, informationsblad etc. Ingen kryptering Personuppgiftslag Kommersiell Kryptering SSL Certifikat I N F O S Ä K Bl.a. 18 kap. 8 skydd för anläggningar, tele mm 18 kap. 13 Risk- och sårbarhetsanalyser mm 19 kap. 3 upphandling Ingen nationellt godkänd kryptometod MYNDIGHETSBESLUT OM ÅTGÄRDER Offentlighet & Sekretesslag Kryptolösning KSU KURIR (RAKEL) SGSI Skydd av känsliga uppgifter Skydd av skyddsvärd uppgifter samt sekretessbelagda uppgifter Sekretessbelagda uppgifter som rör rikets säkerhet (HEMLIGA UPPGIFTER), är 15 kap. 2 men kan även vara vissa uppgifter enligt bl.a. 15 kap 1, 18 kap 1, 2, 5, 8, 9 och 13 Offentlighet & Sekretesslag K r y p t e r i n g s ä k e r s t ä l l e r ä v e n r i k t i g h e t o c h s p å r b a r h e t OGRANSKAT KRYPTO Tryckfrihetsförordningen offentlighetsprincipen, upphovsrätt Offentlighet & Sekretesslag - allmän och offentlig handling Arkivlagen - arkivering och lagringsbestämmelser Säkerhetsskyddslag grundläggande krav K S U K O N F I D E N T I A L I T E T Kryptolösningar signalskydd SG R SG C SG S SG TS Kryfax MGM Data MGS, PGAI mfl Telefon MGL S Ä K E R H E T S S K Y D D S I G N A L S K Y D D RÖS, Intrång Manipulering Störsändning Avlyssning Nationellt godkända kryptosystem ÅTGÄRDER ENLIGT SÄPO OCH FM FÖRESKRIFTER Krav för sekretess - Klassificering av information och signalskyddsnivå Assuranskrav - Säkerhetsgranskning och godkännande av krypton Funktionskrav - Intrångsskydd, inloggning och autentisering, krav på integritet Krav på utbildning och administrativ kontroll - Ansvar, dokumentation, materiel och nyckelhantering Tillgångar Skyddsåtgärd

Signalskydd skyddar mot Avlysning 0ch obehörig åtkomst (Konfidentialitet) Falsksignalering (Riktighet, Identitet) Obehörig påverkan, förändring (Riktighet) Intrång (HW) Obehörig åtkomst till system (Autentisering) Trafikanalys (Kartläggning när trafik flödar eller ej) 10

Signalskydd bara jobbigt eller en möjliggörare Rätt använt signalskyddssystem säkerställer Konfidentialitet (ingen obehörig kan ta del), Riktighet (ingen förändring kan göras oupptäckt) och Spårbarhet (äkthet, autenticering) endast behörig avsändare Får även användas till annan skyddsvärd eller sekretessbelagd information som inte rör rikets säkerhet Användandet av Signalskydd är en viktig skyddsåtgärd för att organisationen ska uppnå en hög informationssäkerhet vid hantering av hemliga uppgifter Signalskydd ska vara en naturlig del i arbetet med hemliga uppgifter 11

Krypto kan missbrukas Ransomeware (Cryptolocker) Olika användningsområden för Signalskydd Textskydd (Avlyssning) VPN (flera tunnlar) Linjekrypto (punkt till punkt, ex. länkstråk) Filkrypto Talkrypto Fax Trafikskydd (Trafikanalys) Auteticering (inloggning med smarta kort och certifikat i ex. H-system) Inom Sverige och till utlandet 13

SIGNALSKYDDSSYSTEM VS KOMMERSIELLT KRYPTO Signalskyddssystem (gör vad det utges för att göra och inget mer) Godkänt för hemliga uppgifter Styrkan är känd och verifierad, granskad och godkänd av Försvarsmakten Tydligt regelverk (regler, utbildning, egna rutiner etc) En helhetslösning (regler, utbildning, nycklar, distribution, kryptoapparat mm) Enhetligt, informationsutbyte med andra myndigheter samma hantering Kommersiellt Krypto som inte är granskat (gör kanske vad det utges för att göra och kanske lite!!) Ej för hemliga uppgifter Ej granskat av FM Hanterar systemet utifrån egna behov (och kunskap) Olika organisationer Olika hantering (Svaghet) Användaranvisning, möjligtvis Många olika system, okänd styrka på krypto System 1 System 2 14 Info tillgång

Regelverk FM föreskriftsrätt för alla myndigheter inom Totalförsvaret, övriga tecknas särskild överenskommelse/avtal med FM:s FFS 2016:3 reglerar signalskyddsverksamheten För respektive system finns tydlig instruktion framtagen Myndighetsspecifik Signalskyddsinstruktion/plan H TST Grunder allmänt om signalskydd 15

Reglering I Förordning 2015:1053 om totalförsvar och höjd beredskap framgår vilka myndigheter som ska ha signalskyddssystem MSB beslutar om vilka övriga myndigheter, företag och organisationer som ska ha signalskyddssystem, tecknar också överenskommelse/avtal med dessa MSB föreskriver också när Civila myndigheter som har signalskyddssystem ska ha kryptoberedskap 16

Viktiga aktörer då det gäller Signalskydd Försvarsmakten MSB FRA Er organisation 17

MSB Framför behov och prioritering av nya system utifrån Civila myndigheters behov Beslutar om tilldelning av signalskyddsmateriel till Civila myndigheter och andra aktörer för extern samverkan, Förskriftsrätt för Civila myndigheter, MSBFS 2009:11 18

Processbeskrivning anskaffning av signalskyddssystem Säkerhetsanalysen eller annan myndighet ser samverkansbehov Kontakta MSB och boka ett inledande möte med MSB, FRA och FM (endast första gången) Hemställan till MSB (Hemlig, kan avslöja en ev. framtida förmåga eller nuvarande oförmåga) Organisation som ej omfattas föreskrift enligt 33, Förordning (2007:1266 ) med instruktion för Försvarsmakten MSB tecknar Överenskommelse Utbildning, Signalskyddschef (dokumentera på utbildningsbevis), systemoperatör Signalskyddsinstruktion/plan Tilldelning av mtrl Beställning an kryptonycklar (om detta ej gjort i samband med hemställan) Driftsättning (Utbildning av användare) 19

Kryptoapparater Välj system utifrån samverkansbehov och nivå VPN/datakrypto H/R-H/TS H/C - H/TS RÖS U1 el U2 Plomberade Filkrypto H/R o H/S Talkrypto (Signalskyddsberedskap) H/S (H/TS) Faxkrypto (Signalskyddsberedskap) H/S 20

Använd de system som finns Vi har ett antal godkända system, var kreativ. Hur kan man använda de vi har för att lösa en uppgift? Videokonferens Telefonkonferens IP-telefoni Enkelt H-nät mellan myndigheter Ex. VPN-förbindels H/R för att skicka MGSkrypterade filer via minskad risk för skadlig kod 21

Nyckelansvarig myndighet NAM NAM är en del av rollen som signalskyddsorganisation Taktisera med krypto Skapa små kryptonyckelserier Projekt internt/externt Samverkansområden Utse någon inom projektet som är NAM för nyckeln Att använda samma nyckel till allt alla, är det förenligt med 7 SF? Exempel på samverkan med filkrypto. NAM ex. Länsstyrelse, Militärregion, central myndighet Exempel Lämpligt krypto utifrån Behörig! verksamhetens behov 123456 Koden till Lokalt t.ex. H/R organisationens säkerhetsskåp Regionalt t.ex. H/S Central t.ex. H/TS 22

Signalskyddsmöten 2 st 6-7/12 2017 och 7-8/2 2018 (v 749 o v 806) Arbetsätt framöver Exempelvis så kan: Länsstyrelse ta ett ansvar för sitt län Kommuner inom länet kan vara användare under Länsstyrelsen (minskar behovet av signalskyddsorganisationer och signalskyddschefer) I vissa fall så kommer ändå kommuner att behöva vara egna signalskyddsorganisationer Snabbt att komma igång, minskat behov av resurskrävande utbildning 23

Kan kompletteras med ytterligare krypto för förmedling av Hemliga uppgifter Swedish Government Secure Intranet - Myndighetsintranet med hög tillgänglighet, upp till 99,98 - VPN-krypto - Mailrelay - Skyddad videokonferens - Tjänster hos andra myndigheter - Ett bärarnät mellan och inom myndigheter - Skilt från Internet NISU 2014 På gång - RAKEL-koppling 24

Tillbakablick Stöld av information ett av det största cyberhoten idag! Tillgänglig och rätt information är också viktigt! Förhindra att obehöriga och även resursstarka aktörer kommer över våra informationstillgångar, eller förändrar/förvanskar dessa, verifierad styrka! MSB inriktar och samordnar civila myndigheters signalskyddsverksamhet. Beslutar även om tilldelning av signalskyddssystem. MSB är även med och kravställer på nya system utifrån de civila myndigheters behov. Varje organisation/verksamhet är ansvarig för sin egna informationssäkerhet inklusive behoven av signalskyddssystem, samt hur man taktiserar med dessa. Ökad efterfrågan, vilket är positivt! Säkerhetsanalysen är grunden Klassa informationen, identifiera det mest skyddsvärda så att relevanta skyddsåtgärder vidtas. 26

VIKTIGT! Att komma ihåg efter denna lektion Säkerhetsskyddsanalysen är grunden Signalskydd en möjliggörare verifierad styrka DU uppnår inget säkerhetsskydd i DIN organisation utan säkerhetsmedvetna användare - UTBILDNING Funderingar kring eller behov av signalskyddssystem, börja med att kontakta MSB roger.forsberg@msb.se 072-210 70 73 Enheten för skydd av kritisk infrastruktur och cybersäkerhet 27 Tid kvar!

Swedish Government Secure Intranet Frågor? www.informationssakerhet.se/signalskydd www.msb.se 28

SLUT 29

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss