ISD - IT-säkerhetsdeklaration. Information till SESAME Dan Olofsson PrL ISD 070-6825904



Relevanta dokument
ISD. Etablering av ISD inom FMV. Dan Olofsson PrL ISD

Metodstöd för ISD-processen. Övergripande beskrivning

Metodstöd för ISD-processen Övergripande beskrivning. Kundnyttan med ISD-processens metodstöd

FMV Vägledning för ISD och SE. ISD och SE

Metodbeskrivning för framtagning av ITSS 2: IT-säkerhetsarkitektur. Framtagning av ITSS 2

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION REALISERA (ISD-R) Inklusive 3 bilagor

Metodbeskrivning för framtagning av. ISD/ISU-plan. ISD/ISU-plan

Metodbeskrivning för genomförande av Oberoende värdering i ISD-processens faser Produktion och Leverans till FM. Oberoende värdering i ISD-processen

FMV Vägledning för ISD och SE. ISD och SE

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(12) <SYSTEM> <VERSION> ANALYSUNDERLAG IDENTIFIERA (AU-I)

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(9) <SYSTEM> <VERSION> ANALYSUNDERLAG VIDMAKTHÅLLA (AU-V)

SYSTGL GRANSKNINGSINSTRUKTION ISD 3.0

Oberoende granskning i ISD-processen

Metodbeskrivning för framtagning av. Användningsfall. Användningsfall

Metodbeskrivning för genomförande av Oberoende granskning i ISD-processens faser Produktion och Leverans till FM. Oberoende granskning i ISDprocessen

FMV Instruktion för verifiering system av system på nivå 4. System av system på nivå 4

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION DEFINIERA (ISD-D) Inklusive 3 bilagor

<SYSTEM> <VERSION> ISD-PLAN

Datum Diarienummer Ärendetyp. ange ange ange. Dokumentnummer. ange 1(15) <SYSTEM> <VERSION> IT-SÄKERHETSSPECIFIKATION VIDMAKTHÅLLA (ITSS-V)

BEGREPP OCH FÖRKORTNINGAR ISD 3.0

<SYSTEM> <VERSION> INFORMATIONSSÄKERHETSDEKLARATION IDENTIFIERA (ISD-I) Inklusive 2 bilagor

Mars Vägledning för informations säkerhetsdeklarationen. Säkerhet vid anskaffning och utvecking av system

FMV Instruktion för verifiering system av system på nivå 4. System av system på nivå 4

ISE GRANSKNINGSINSTRUKTION ISD 3.0

Mission Network som plattform Hur möter vi det?

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

GTP Info KP P-O Risberg Jaan Haabma GTP Info KP Inforum 1

Presentation av H ProgSäk 2018

Säkerhetsskydd en översikt. Thomas Palfelt

<SYSTEMOMRÅDE> ISD-STRATEGI

Riktlinjer för informationssäkerhet

Designregel Härdning av IT-system, utgåva 1.0

Sjunet Anslutningsavtal Förenklat regelverk för informationssäkerhet

Riktlinjer för informationssäkerhet

Ledning och styrning av IT-tjänster och informationssäkerhet

Vägledning för informationssäkerhetsdeklarationen

Informationssäkerhet och SKLs verktyg KLASSA. Avdelningen för Digitalisering Sektionen för Informationshantering och Digital Arbetsmiljö (IDA)

Sjunet Anslutningsavtal Standardregelverk för informationssäkerhet

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Informationssäkerhetspolicy

Bilaga 3 Säkerhet Dnr: /

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

Riktlinjer för informationssäkerhet

FÖRSVARETS FÖRFATTNINGSSAMLING

Regelverk för informationssäkerhet Omformulering av tidigare version 3.0

Riktlinjer för IT-säkerhet i Halmstads kommun

Informations- och IT-säkerhet i kommunal verksamhet

Icke funktionella krav

Riskanalys och informationssäkerhet 7,5 hp

SAMMANTRÄDESPROTOKOLL Kommunstyrelsens arbetsutskott Sammanträdesdatum

Metodbeskrivning för framtagning av. ISD/ISU-plan. ISD/ISU-plan

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Ledningssystem för IT-tjänster

Interimistisk instruktion avseende TO under vidmakthållandeskede

Upphandlingsplan Tekniska konsulter

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

Projekt Informationssäkerhet

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

IT governance i praktiken: Styrning och kontroll över ITriskerna. Fredrik Björck Transcendent Group för ADBJ Agenda

Upprättande av säkerhetsskyddsavtal i Nivå 1

Sjunet standardregelverk för informationssäkerhet

FÖRSVARSMAKTENS INTERNA BESTÄMMELSER

Programvara i säkerhetskritiska tillämpningar

Utredning av central teknisk lösning för att upptäcka avvikelser och potentiella hot i landstingets nätverk och kritiska IT-system

TJÄNSTESKRIVELSE. Revidering av. informationssäkerhetspolicy TJÄNSTESKRIVELSE. Kommunstyrelsen KS/2019:63

Ledningssystem för Informationssäkerhet (LIS) vid Linköpings universitet

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS,

Handbok Informationsklassificering

Säkerhet och Tillit vid elektronisk identifiering. Fredrik Ljunggren

INFORMATIONSSÄKERHET EN PATIENTSÄKERHETSFRÅGA

Digital strategi för Uppsala kommun

Öppen/Unclassified ISD-Processen 3.0

Myndigheten för samhällsskydd och beredskaps författningssamling

INFORMATIONSSÄKERHET ETT HINDER ELLER EN MÖJLIGGÖRARE FÖR VERKSAMHETEN

Terminologi inom informationssäkerhetsområdet HB 550 har blivit TR-50

Informationssäkerhetspolicy inom Stockholms läns landsting

Säkerhetsskydd. Skydda det mest skyddsvärda. Roger Forsberg, MSB

Informationsklassning och systemsäkerhetsanalys en guide

Dnr Rev Riskhantering, styrning och intern kontroll, sammanställning. GöteborgsOperan AB

IT-verksamheten, organisation och styrning

Informationssäkerhet i NBF HÖGKVARTERET

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

Riktlinje för informationssäkerhet

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

IT-Policy. Tritech Technology AB

Säkerhetskrav på IT-system som är avsedda för behandling av personuppgifter

Värderingsaspekter inom Försvarsmaktens IT-säkerhetsarbete

Informationssäkerhetspolicy

Policy. Policy för informationssäkerhet och personuppgiftshantering i Herrljunga kommun DIARIENUMMER: KS 47/2018 FASTSTÄLLD: VERSION: 1

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Finansinspektionens författningssamling

Mall säkerhetsskyddsavtal (nivå 1)

Myndigheten för samhällsskydd och beredskaps författningssamling

I lagens namn Så harmoniserar vi juridikens krav med verksamhetens behov

Informationssäkerhetspolicy KS/2018:260

HITTA KRONJUVELERNA. Charlotta Rudoff & Åsa Schwarz PAGE 2 THIS IS KNOWIT

Gränsdragning mellan Försvarsmakten och FMV

Beslut. HÖGKVARTERET Datum Beteckning FM :1 Sida 1 (5) Ert tjänsteställe, handläggare Ert datum Er beteckning Signalskydd

FÖRSVARETS FÖRFATTNINGSSAMLING

Transkript:

ISD - IT-säkerhetsdeklaration Information till SESAME Dan Olofsson PrL ISD 070-6825904

Agenda Varför ISD? Omfattning ISD, Informationssäkerhet kontra IT-säkerhet Status Vad är ISD?

Varför ISD? Projekt har fallerat p.g.a. IT-säkerhetsaspekten Det saknar ett uttalat tekniskt designansvar för IT-säkerhet motsv. flyg- och systemsäkerhet. Det innebär: Inga krav på kompetens Inga krav på metodstöd Inga krav på styrande processer Inga krav på ansvar Inga krav på uppföljning Det finns krav i form av FFS, FIB och KSF

Syftet med ISD Kostnadseffektivt och enhetligt ITsäkerhetsarbete i hela systemlivscykeln Att göra rätt från början Ökar förtroendet för FMVs leveranser Det ska vara enkelt att tillämpa ISD ISD fungerar ihop med KSF, DIT, VHL standard, ISO 27000 mm.

ISD - Integreras i och stöder ISD är en förutsättning för: FMV designansvar ISD integreras med: FMV VHL och därmed SE-arbete inklusive VoV ISD säkerställer leveranser till: FM Auktorisationsprocess ISD integrerar: FM KSF 3.1 FM IT-styrningsprocess

Definition Informationssäkerhet Informationssäkerhet SIS HB 550 Administrativ säkerhet Teknisk säkerhet Policy Rutiner etc Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet

IT-säkerhet Sekretess, Riktighet o Tillgänglighet (CIA) Krav på säkerhetsfunktioner (KSF) Risk, Risk tolerans, Informationsvärdering Systemlivscykeln Vulnerability, oberoende granskning/värdering Kan ställa krav på informationssäkerhet Samverkan och integration med SE Styrning och uppföljning

Krav på säkerhetsfunktioner Behörighetskontroll Säkerhetsloggning Intrångsskydd Skadlig kod Intrångsdetektering Skydd mot röjande signaler Skydd mot obehörig avlyssning Signalskydd

Risk, Risk Tolerans och Informationsvärdering Risk - kombination av sannolikheten för att ett givet hot realiseras och därmed uppkommande skadekostnad (konsekvens). Risk Tolerans accepterbara gränser för risk i en organisation Informationsvärdering Utan dessa tre aspekter inget effektivt system

Vulnerability Sårbarhet innebär brist i skyddet av en tillgång exponerad för hot kan avse fel i ett systems säkerhetsprocedurer, design, implementering eller interna kontroller. FMVs tekniska designansvar

Säkerhetsnivå över tiden Säkerhetsnivå Incidenter Uppföljning Hot Åtgärd Risk Tid

Systemlivscykeln Definition: Utveckling Anskaffning Förvaltning/vidmakthållande Avveckling Systemledningens ISD-plan beskriver strategi för IT-säkerhetsarbete.

Status ISD 2.0 Förankrat hos FM, infört i SAMO Infört i FMV VHL Beslut av Teknisk Direktör att alla IT-system ska följa ISD-processen fr.o.m 2014-04-01. Utbildning genomförs på FMV FM MUST, FM CIO, FM MSA och FM KFA är välkomna. ISD utvärderas och uppdateras kontinuerligt FM kan använda befintligt ramavtal ISD Exempel på projekt som använder processen är: JAS, StriC, Sweccis, Marina stödsystem, IFS Radar, SatKom, IP ATL, BMS

Vad är ISD? Metodstöd Process Systemgranskningsledare Deklaration

Metodstöd Förutsättning för FMVs teknisk designansvar: FM behov och användning Tydliggöra FMVs ansvar Säkerställa kravnedbrytning och kravuppfyllnad Styra och följa upp leverantörens IT-säkerhetsarbete Tydliggöra leverantörens tekniska designansvar

Metodstöd - Användningsfall Syftet med metodstödet Effektivisera arbetet Innehåll Principer för genomförande Förberedelser Initial analys Finns versioner av systemet sen tidigare? Finns beslut från FM för vidare arbete? Planering av arbetet Vilka ska delta? På vilket sätt genomförs arbetet?

Användningsfall forts.. Genomförande 2 st workshops Säkerhetsanalys Dimensionerande Användningsfall ger svar på: Vilken typ av information som systemet kan komma hantera. Vilka driftmiljöer som kan tänkas bli aktuella. Vilka hot och risker som bör belysas i en separat analys. Vilka regelverksområden som kan komma att påverkas i och med behovet av en viss informationsstruktur. Risk- och sårbarhetsanalys (ej sannolikheter och åtgärder)

Punkt Ja Nej Bedömning Är samtliga underlag är konsekventa d.v.s. fria från motsägelser och tvetydiga krav och mål? Är verksamheten kring systemet är väl beskriven inklusive tydliga avgränsningar? Framgår roller och ansvar (som minst produktägare och produktansvarig)? Är informationsmängder väl definierade och beskrivna? Är informationsmängder inplacerade i informationssäkerhetsklass? Är informationsflöden översiktligt beskrivna? Är dimensionerande informationssäkerhetsklass beslutad? Finns beskrivning över hur systemet skall användas, t.ex. användningsscenarier? Går säkerhetskrav/-mål att spåra mot väl genomförda analyser, t.ex. hot-, risk och sårbarhetsanalys, författningsanalys eller verksamhetsanalys? Är styrande regelverk utöver det som är omhändertaget i inkommande kravmassa utpekat, t.ex. KSF, internationella standarder, etc? Framgår det vilka krav som ställs på verifiering, evaluering och andra kvalitetssäkrande aktiviteter framgår? Framgår det huruvida systemet innehåller signalskydd som måste hanteras enligt särskild process, t.ex. kryptoverifiering? Saknas krav eller analyser som borde vara redovisade? - Om Ja, vilka krav eller analyser är det?

Mall STAU 2 Syfte: Komplettera Teknisk spec underlätta för industri och öka kvalitén. Övergripande design visa vilken ITsäkerhetsfunktion som ska lösa ut vilka krav.

STAU 2 SYSTEMÖVERSIKT KRAV ÖVERGRIPANDE RIKTLINJER OCH DESIGNPRINCIPER IT-SÄKERHETSKRAV HOT IT-SÄKERHETSFUNKTIONER INTRÅNGSSKYDD/SEPARATION LOGGHANTERING AUTENTISERING OCH BEHÖRIGHETER SIGNALSKYDD IDS-FUNKTIONALITET INFORMATIONSHANTERING OCH BACK UP SKYDD MOT RÖS INTEGRITETSSKYDD SÄKERHETSADMINISTRATION SKYDD MOT SKADLIG KOD ÖVRIGT IT-SÄKERHETSFUNKTIONER SOM KRÄVER SÄRSKILD ASSURANS GFE-PLAN

Verksamhetsåtagande Krav på: Planering av IT-säkerhetsarbetet (ISPP) Test och verifiering Ändringshantering Roller och organisation Nedbrytning av IT-säkerhetsarkitektur Milstolpeleveranser

Oberoende granskning Granskningsplan Scope Roller Resultat Realiserbarhet Granskningsrapport Vilka slutsatser kan beställaren dra?

ISD-plan Definierar omfattning av ackrediteringsobjektet Klargör utmaningar, förutsättningar och problem för projektets ackrediteringsarbete Klargör hur utmaningarna ska hanteras i projektet Klargör roller för projektets ackrediteringsarbete Klargör säkerhetskritiska samverkansbehov

Deklaration ISD FMV tar ansvar för IT-säkerhetslösningen i systemet och deklarerar att: [Systemet/ackrediteringsobjektet] uppfyller Försvarsmaktens krav på ITsäkerhetslösning för systemet. IT-säkerhetslösningen för systemet är utformad med utgångspunkt från Försvarsmaktens krav på tolererbar risk. det säkerhetstekniska underlaget för systemet (STAU 4) är utformat enligt den norm som kravställts inom FMV. Bevisen för kravuppfyllnad och tolererbar risk finns i STAU 4. IT-säkerhetsarbetet har följt fastställd ISD-plan.

Metodstöd ISD Management Användnings fall IT- Säkerhetsarkitektur Verksamhetsåtagande Oberoende granskning STAU/ ITSS KSF 3.1 IT-styrning FMV VHL

B1(Mål) B1 (Mål) B2/G1 (Behov) B3/G2 (Kravbild) B4 (Lösning) B5/G3 (Granskning) FM Beslutet ger inriktning/styr ISD-plan Inriktning/styr ISD-plan Inriktning/styr ISD-plan Underlag till B3 Underlag till B4 Underlag till B5 FMV Initial Analys Kravspec/ upphandling Leverans FM Output: SäkerhetsTekniskt Ackrediterings Underlag STAU 1.0 Output: Övergripande säkerhets- Arkitektur (STAU 2) Teknisk spec Verksamhetsåtagande Output: STAU 4- Säkerhetstekniskt ackrediteringsunderlag ISD-IT-säkerhetsdeklaration ISD-plan Produktion Leverantör Output: STAU 3 leverantörens ackrediteringsunderlag ISU IT-säkerhetsutlåtande ISU-plan

SystGL - Systemgranskningsledare För att garantera kvalitén krävs en systemgranskningsledare (SystGL) Oberoende granskning inför TC- beslut avseende ISDplan och STAU 4/ISD. Kräver kompetens och erfarenhet