Nytt metodstöd för systematiskt informationssäkerhetsarbete Revidering av MSB:s metodstöd Per Oscarson, Oscarson Security AB Carl Önne, MSB
Vad är metodstödet för systematiskt informationssäkerhetsarbete? Del av stödet för systematiskt arbete med informationssäkerhet i organisationer Publicerat på informationssäkerhet.se MSB i samverkan med andra myndigheter
Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Nuvarande metodstöd och motiv till revidering Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete
Behovet av ett metodstöd Stöd för att skapa ett systematiskt informationssäkerhetsarbete/lis Rådande standarder inte helt lättförståeliga och innehåller inte konkret metodik SS-EN ISO/IEC 27001:2017 SS-EN ISO/IEC 27002:2017 Metodstödet syftar till att ge konkret hjälp
Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Nuvarande metodstöd och motiv till revidering Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete
Det nuvarande metodstödet
Målbild för revideringen Enkelhet: Mindre komplext, mer pedagogiskt, fler mallar Snabba resultat:att användarna snabbt förstår helheten och upplever att varje steg ger ett tydligt resultat Modernt: Tar sin utgångspunkt i den nya verkligheten Aptitligt: Layout och språk som tilltalar användarna Flexibelt: Levereras på ett sätt så att det är lätt att använda, anpassa, kommunicera (ej endast sekventiellt, går att använda efter behov)
Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Motiv till revidering av metodstödet Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete
Upplägget i stora drag Arbetet pågått under hösten 2016 och våren 2017 Två öppna workshops har hållits Efterföljande analyser av framkomna behov Arbetsgruppens material färdigställs nu av två redaktörer; arbetsgruppen som referensgrupp
Organisation Kristina Starkerud, MSB (projektledare) Tina Andersson, MSB Helena Andersson, MSB Andreas Rappe, MSB Carl Önne, MSB Margareta Palmqvist, Socialstyrelsen/MSB Jan-Olov Andersson, Polisen/Ica Sverige Lars Grundström, Statens servicecenter Ingrid Holmström, Pensionsmyndigheten Eva Hyenstrand, Trafikverket Robert Lundberg, MSB/Arbetsförmedlingen Rose-Mharie Åhlfeldt, Högskolan i Skövde Fredrik Blix, konsult (redaktör) Per Oscarson, Örebro kommun/konsult (redaktör) Stöd av språkgranskare och illustratör
Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Motiv till revidering av metodstödet Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete
Övergripande steg och ingående delar (preliminär)
Analysera Utvärdera Metodstöd Utforma Stegen mappade mot 27001 Använda 27001 Metodstöd 4. Organisationens förutsättningar Analysera 5. Ledarskap 6. Planering 7. Stöd 8. Verksamhet Utforma Använda 9. Utvärdering av prestanda Utvärdera 10. Förbättringar Utforma ( via Analysera)
Analysera Utvärdera Metodstöd Utforma Översyn av klassningsmodellen Använda Nuvarande klassningsmodell från 2009 Ej synkad med nuvarande metodstöd (2011) Mål: Stödja myndigheters efterlevande av MSBFS 2016:1 Harmonisera med nationella modellen och säkerhetsskyddslagstiftningen Underlätta för användarna
Målgrupp för metodstödet Alla typer av organisationer Den som arbetar med informationssäkerhet i en organisation Utbildningsmaterial m.m. kan användas av denna roll för att kommunicera med andra roller i organisationen
Metodstödet som produkt Fortfarande på informationssäkerhet.se Presenteras i HTML, PDF och RTF Mallar m.m. i ändringsbart format, t.ex. Word, Excel, PowerPoint
Struktur - exempel riskanalys Vägledning Om risk Riskhantering Riskanalys Att utbilda om risk Att genomföra riskanalyser Verktygslåda Utbildningsmaterial Riskanalysmetod(-er) Dagordning för genomförande Dokumentationsprotokoll Rapportmall Presentationsmall för inledning av riskanalyser Presentationsmallar för utbildning i risker och riskanalys Exempelbank Organisationers genomförande av riskanalys/-hantering Andra riskanalysmetoder, 31000, 27005, COSO, forskningsrapporter, incidenter, hot, sårbarheter m.m.
Navigering Rubriker och navigering inom sidan Vägledningen, text De tre övriga delarna
Expandera kategorin för att komma åt material Till en sida med allt material och ev. fördjupande text
Innehåll Behovet av ett metodstöd för systematiskt informationssäkerhetsarbete Motiv till revidering av metodstödet Upplägg och organisation Översikt av den (preliminära) nya versionen Fortsatt arbete
Fortsatt arbete Ytterligare en workshop 17 oktober Intern remiss på Verksamheten för cybersäkerhet och samhällsviktig verksamhet, MSB Remiss till Samfi-myndigheterna Lansering planeras ske i slutet på året 2017
Frågor? kristina.starkerud@msb.se carl.onne@msb.se per@oscarsonsecurity.se