RISKHANTERING FÖR SCADA

Relevanta dokument

Vetenskapsrådets informationssäkerhetspolicy

IT-revision Martin Malm CISA CISSP Verksamhetschef IT Governance Transcendent Group

Presentation och bakgrund Kjell Ekbladh. Per Nordenstam

Riktlinjer. Informationssäkerhetsklassning

Säkerhet i industriella informations- och styrsystem

Informationssäkerhetspolicy inom Stockholms läns landsting

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Informationssäkerhetspolicy för Ystads kommun F 17:01

Metod för klassning av IT-system och E-tjänster

Handbok Informationsklassificering

IT styrning- Från ett 1a, 2a och 3e linjeperspektiv

Riktlinjer för informationssäkerhet

Riktlinjer för informationssäkerhet

Informationssäkerhetspolicy för Stockholms läns landsting. Informationssäkerhetspolicy för Stockholms läns landsting

Riskanalys och riskhantering

RUTIN FÖR RISKANALYS

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Riktlinjer för informationssäkerhet

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C

Administrativ säkerhet

Riktlinjer för Informationssäkerhet Falkenbergs Kommun Kommunledningskontoret

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Riktlinjer för informationssäkerhet

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Frågor att ställa om IK

Informationssäkerhetspolicy

Inte bara det, vi har dessutom fått allt fler arbetsredskap. När vi inte har kontroll på enheterna är det svårare att skydda dem.

Roller för information behöver också fastställas, använd gärna nedanstående roller som kommer från SKL och deras verktyg

Informationssäkerhetspolicy för Ånge kommun

1 Risk- och sårbarhetsanalys

Riktlinjer för informationssäkerhet

Process 8 Skyddsstrategi

VISION STRATEGI REGLEMENTE PROGRAM POLICY PLAN» RIKTLINJE REGEL. Riktlinjer för informationssäkerhet

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Handlingsplan för persondataskydd

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

Att införa LIS. Informationssäkerhet för offentlig sektor Johan Kallum Säkerhetschef/Informationssäkerhetschef

Checklista inför att den nya Dataskyddsförordningen, GDPR, träder i kraft den. 25 maj Detta är i princip taget från SKLs checklista.

Handläggningsordning för förvaltning av IT-system vid Högskolan Dalarna

Riktlinjer informationssäkerhetsklassning

Kapitel 7 Hantering av tillgångar

Riskanalys och informationssäkerhet 7,5 hp

Föreskrifter och riktlinjer för intern styrning och kontroll på Universitetskanslersämbetet

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(12) <SYSTEM> <VERSION> ANALYSUNDERLAG IDENTIFIERA (AU-I)

Tyresö kommun. Generella IT kontroller Economa och Heroma. Detaljerade observationer och rekommendationer. Juni 2017

Säkerhet i industriella informations- och styrsystem

Finansinspektionens författningssamling

Informationssäkerhetspolicy IT (0:0:0)

Finansinspektionens författningssamling

Locum AB. Anders Gidrup säkerhetschef Locum AB

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Sjunet standardregelverk för informationssäkerhet

Informationssäkerhetspolicy

Informationssäkerhet vid Lunds Universitet. Mötesplats Rydberg 3:e oktober Lennart Österman

Informationsklassning och systemsäkerhetsanalys en guide

Mittuniversitetets riktlinjer för systemförvaltning

REVISION AV OUTSOURCAD VERKSAMHET - EXEMPEL UR VERKLIGHETEN

Säkerhetsanalys. Agenda. Säkerhetsanalys maj 2012 Svante Barck-Holst. Säkerhetspolisen Säkerhetsskydd Säkerhetsanalys

Ledningssystem för Informationssäkerhet

Policy för säkerhetsarbetet i. Södertälje kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Gymnastik- och idrottshögskolan 2010.

Informationssäkerhet är ett medel som bidrar till att uppnå kommunens övergripande mål.

Ledningssystem för Informationssäkerhet

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Välkommen till enkäten!

Information om dataskyddsförordningen

ISO/IEC och Nyheter

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

IT-säkerhetsinstruktion Förvaltning

Göran Engblom IT-chef

8 Steg GDPR. Förbered verksamheten. Organisera GDPR-arbetet. Kartlägg. Analysera. Dokumentera. Inför rutiner. Leverantörer och avtal

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

Ärende Beslut eller åtgärd. 1 Fastställande av dagordning Inga ärenden anmäldes till Övrigt.

Informationssäkerhet och medicintekniska produkter eller Information security with respect to safety considerations

Informationssäkerhetspolicy

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Riktlinjer för IT-säkerhet i Halmstads kommun

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Kungl. Konsthögskolan 2010.

Myndigheten för samhällsskydd och beredskaps författningssamling

Hantering av behörigheter och roller

VÄGLEDNING INFORMATIONSKLASSNING

Vervas kräver ISO och ISO av alla statliga myndigheter. Maylis Karlsson, Utvecklingsstrateg Verva

Regelverk och myndighetsstöd för ökad informationssäkerhet inom dricksvattenförsörjningen (NIS) Anders Östgaard

Policy för informationssäkerhet

UTKAST. Riktlinjer vid val av molntjänst

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS,

Rubrikförklaringar till projektmallar

Informationssäkerhetspolicy KS/2018:260

Systemförvaltnings Modell Ystads Kommun(v.0.8)

Informationssäkerhetspolicy för Katrineholms kommun

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Input till IT-risker i internrevisorns riskanalys. Daniel Gräntz 20 maj, GRC 2015

Lokal informationssäkerhetspolicy, lokala informationssäkerhetsriktlinjer och anvisningar

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Karolinska institutet

Ta kontroll över informationssäkerheten

Informationssäkerhet vid Karolinska Universitetssjukhuset. Dokumentansvarig: Markus Ekbäck, CISO Karolinska Senast uppdaterad:

Transkript:

RISKHANTERING FÖR SCADA Informationsklassificering - Publik VÅR MÅLSÄTTNING Lämna goda råd Förslag på ett första nästa steg 1

VAD KOMMER VI ATT GÅ IGENOM? FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder CHRISTOFFER STRÖMBLAD SVEN-OLOF WIKLUND Copyright 2011 SAFESIDE SOLUTIONS AB 2

GRUNDER FÖR INFORMATIONS- OCH IT- SÄKERHET GRUNDERNA KORT OM GRUNDERNA Policy Informationsklassificering Riskhantering Säkerhetsarkitektur IT-revision 3

INFORMATIONSKLASSIFICERING Klassificeringen av system och information är grunden till riskhanteringen, det är här verksamhetens krav identifieras. Systemen klassificeras utifrån betydelsen för verksamheten Klassificeringen skapar samsyn mellan verksamheten och tekniken Ingen samsyn leder till godtyckliga uppskattningar och felaktiga prioriteringar INFORMATIONSKLASSIFICERING Etc. etc Sekretess 1 2 3 Riktighet 1 2 3 Tillgänglighet 1 2 3 Syfte att identifiera och klassificera skyddsvärd information i det specifika objektet (system) Mål att få en dokumenterad säkerhetsprofil på den skyddsvärda informationen i objektet Resultat efter genomförd klassificering så kommer systemet att ha en viss säkerhetsprofil/kravbild 4

RISKANALYSER & SÄKERHETSARKITEKTUR Copyright 2011 SAFESIDE SOLUTIONS AB RISKANALYSER Tillgången Vad och vem Sårbarheter Skydd 5

RISKANALYSER VISUALISERAT TILLGÅNG HOT SÅRBARHET SKYDD KONSEKVENS SANNOLIKHET RISK SÄKERHETSARKITEKTUR Visualiserar säkerheten Funktioner Mekanismer Komponenter 6

FRÅN INFORMATIONSSÄKERHETENS GRUNDER TILL FYRA FASER FÖR SCADA-SYSTEM Copyright 2011 SAFESIDE SOLUTIONS AB FÖRBEREDELSER Skapa en bild över hur verkligen ser ut Inventera, ta reda på vilka system som finns och vad som de består av och hur de stödjer verksamhetsprocesserna Vem är leverantören av IT till SCADA systemet När inventeringen är gjord, identifiera kopplingen mellan verksamheten, systemen och IT. Rättsanalys 7

EXEMPEL ARKITEKTUR Företagsnätet Kontroll och styrrum Fjärrnätverket (WAN) Geografiska platser FYRA FASER FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder 8

FAS 1 IDENTIFIERA RISKER OCH FÖRÄNDRINGAR Copyright 2011 SAFESIDE SOLUTIONS AB KLASSIFICERING Vad är unikt och utmanande för ett SCADA system Ägarskapet - kravställare Storleken på system Vilka skall delta SKADAN Tillgängligheten Något mer? 9

Exempel genomförande Första steget beskrivning Identifiera processer och tillgångar Verksamhetspersonal, systemägare, systemförvaltare, systemansvarig Klassificera tillgångarna Informationsflödet i verksamhetsprocesserna Systemsamband Fastställ ansvarsgränserna Icke kritiska Kritiska tillgångar och processer Exempel SCADA System Planering Produktion Styrning Mätning IT-system Kraven ärvs från verksamhet via system till IT Plan Saturnus Pluto Infrastruktursystem Access Lagring Backup 10

RISKANALYS SCADA UNIKA UTMANINGAR Gammal teknik möter ny Säkerhetsåtgärder konflikt med verksamhetens krav Traditionell riskekvation inte alltid lämplig EXEMPELANALYS Fältadministratör ska uppdatera PLC Ansluter USB-enhet för uppdatering USB-enheter infekterar dator 11

RISKANALYS SCADA HOTBESKRIVNING Tillgången - Styrsystemen (PLC i detta fall) Hotet (vem/vad) - PLC infekteras med skadlig kod genom USB - Fältoperatör Sårbarheter - Skydd mot skadlig kod saknas - Brister i rutinerna för uppdatering av PLC Nuvarande skydd - Saknas! RISKANALYS SCADA - FOKUSERA PÅ Lågt hängande frukt - Default inställningar - Fjärrstyrning och Inbyggda bakdörrar Nätverket - Segmentering av företagsnätet och SCADA -nätverken - Gränsytorna 12

FAS 1 KLAR! FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder FAS 2 SKAPA BESLUTSSTÖD Copyright 2011 SAFESIDE SOLUTIONS AB 13

BESLUTSSTÖD Skapa medvetenhet. Validera, motivera Besluta. Helhet och samband. Uppföljning NULÄGE Riktighet Sekretess Tillgängl. Spårbarhet Företagsnät Styrrum Fjärrnät Acceptabel Pågående/kontrollerad Oacceptabel 14

BESLUTSSTÖD Vad gör SCADA unikt? Ansvar och organisation förvaltning, drift Gränsytor verksamhet, IT Förändringstakt kontra tillgänglighet Komplexa aktivtetsplaner EXEMPEL SÄKERHETSARKITEKTUR Copyright 2011 SAFESIDE SOLUTIONS AB 15

EXEMPEL 1: REVIDERAD SÄKERHETSARKITEKTUR Företagsnätet Hot: Manipulering av trafik Åtgärd: Krypterad förbindelse EXEMPEL 2: REVIDERAD SÄKERHETSARKITEKTUR Geografiska platser 1 Hot: Skadlig kod infekterar PLC Åtgärd 1: Rutin för uppdatering Åtgärd 2: Skydd mot skadlig kod 16

FAS 2 KLAR! FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder PAUSE - FIKA 17

FAS 3 GENOMFÖR/INFÖRA ÅTGÄRDER Copyright 2011 SAFESIDE SOLUTIONS AB INFÖRA Traditionell projektledning eller tekniska förvaltningsplaner Risker och åtgärder måste fram Finansiering Upphandling Människor/kompetens Resurser Utveckling Realism, ta små steg Gå Långt 18

INFÖRA Vad är unikt för SCADA? Stora förändringar i stora system Många enheter som kan behöva bytas/ändras Tar lång tid Toppstyrt? Finansiering (var är medlen) Upphandlingar Hårdvaran SCADA System IT Organisationsförändringar Kundkrav - Avtal FAS 3 KLAR! FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder 19

FAS 4 MÄT FRAMGÅNG OCH EFFEKTER Copyright 2011 SAFESIDE SOLUTIONS AB MÄT FRAMGÅNG OCH EFFEKTER I Syfte att mäta och följa upp de åtgärder som implementeras. identifiera de aktiviteter som leder fram till en realistisk förändringsplan För att en gemensam bild över hur förändringsarbetet sker och dess status Ger avvikelse identifiering, bekräftelser på progress Styrkort Mätbarhet Uppföljning Enkelhet 20

HAR VI GJORT DET SOM VI TÄNKT Nuläge Roller och ansvar Säkerhetsarkitektur Riskanalys - > Projekt/aktivitetslista Införande Kontroll -> IT Revision NYLÄGE Riktighet Sekretess Tillgängl. Spårbarhet Företagsnät Styrrum Fjärrnät Acceptabel Pågående/kontrollerad Oacceptabel 21

ÅTERMATNING Detta är den viktigaste delen ut ur fas 4 Uppföljningsresultat Underlag för förvaltningsplaner Underlag för budget Uppföljning Information till nästa cykel Plan / Budget Nya ingångsvärden FAS 4 KLAR! FAS 1 identifiera risker och förändringar FAS 4 mäta framgång och effekter FAS 2 beslutsstöd FAS 3 införa åtgärder 22

ETT FÖRSTA, NÄSTA STEG Träffa verksamheten, påbörja dialogen - Vad gör dom? - Vilka system finns? - Pågående eller närstående förändringar Målsättningen - Förståelse och samsyn kring SCADA - Skapa förutsättningar för god säkerhet Diskussionsforum - Etablera ett forum för SCADA TACK FÖR OSS Copyright 2011 SAFESIDE SOLUTIONS AB 23