Presentation laddar. Vänta.

Presentation laddar. Vänta.

Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet.

Liknande presentationer


En presentation över ämnet: "Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet."— Presentationens avskrift:

1 Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet

2 Wiggo Öberg 23 år med informations- och IT-säkerhet • Systemvetare/systemutv. AB Bofors • ADB-säkerhetschef Boforskoncernen • Konsult infosäk CAP Programator • IT-säkerhet Statliga ekonomisystem, RRV • IT-säkerhetschef RFV • Expertroller informationssäkerhet på Statskontoret, Verva, MSB

3 Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text Kommunikationsdirektör Ekonomi- och planeringsdirektör HR-direktör Chefsjurist Avdelningen för verksamhetsstöd Karlstad Service- och säkerhetsenheten Karlstad Rättsenheten Karlstad Ekonomienheten Karlstad Personalenheten Karlstad Kommunikationsenheten Karlstad IT-enheten Karlstad och Stockholm Avdelningen för risk- och sårbarhets- reducerande arbete Karlstad Enheten för analys och planeringsstöd Karlstad Enheten för den enskildes säkerhet Karlstad och Stockholm Enheten för den brand- skydd och brandfarlig vara Karlstad Enheten för farliga ämnen Karlstad Enheten för skydd av samhällsviktig verksamhet Karlstad Enheten för informationssäkerhet Stockholm Avdelningen för utbildning, övning och beredskap Karlstad Enheten för utveckling av räddningstjänst och krishantering Karlstad Enheten för lednings- system och beslutsstöd Karlstad Utbildningsenheten Karlstad Övningsenheten Stockholm Enheten för affärsstyrning av Rakel Stockholm Enheten för infrastruktur Rakel Stockholm Enheten för kundstöd Rakel Stockholm och Sandö Revinge Sandö Avdelningen för samordning och insats Stockholm Enheten för samordning Stockholm Enheten för omvärld och beredskap Karlstad och Stockholm Enheten för insatser Karlstad Enheten för insatspersonal Karlstad Enheten för materiel och stödresurser Kristinehamn och Karlstad Avdelningen för utvärdering och lärande Stockholm Enheten för strategisk analys Stockholm Enheten för inriktning och planering Stockholm Enheten för inriktning av forskning Stockholm Tillsynsenheten Karlstad Enheten för lärande av olyckor och kriser Karlstad Revinge Utbildnings- och utvecklingsenhet 1 Utbildnings- och utvecklingsenhet 2 Utbildnings- och utvecklingsenhet 3 Utbildningsstödenhet Internatenheten Teknik- och övningsenheten Sandö Utbildnings- och utvecklingsenhet Utbildningsenhet SMO Utbildningsenhet övrig utbildning Utbildningsstödsenhet Internatenheten Teknik- och övningsenheten Internrevisionen Överdirektör Generaldirektör

4 MSB - mandat informationssäkerhet •SFS 2008:1002 Utfärdad: Förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap Verksamhetsområde1 § Myndigheten för samhällsskydd och beredskap har ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en olycka eller en kris. Myndigheten ska 1. utveckla och stödja samhällets beredskap mot olyckor och kriser och vara pådrivande i arbetet med förebyggande och sårbarhetsreducerande åtgärder, 2. arbeta med samordning mellan berörda aktörer i samhället för att förebygga och hantera olyckor och kriser, 3. bidra till att minska konsekvenser av olyckor och kriser, 4. följa upp och utvärdera samhällets krisberedskapsarbete, och 5. se till att utbildning och övningar kommer till stånd inom myndighetens ansvarsområde. •6 § Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. Myndigheten ska rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan föranleda behov av åtgärder inom olika nivåer och områden i samhället.

5 MSB - Uppdrag inom området informations- säkerhet och medieberedskap – Stödja och samordna arbetet med samhällets informationssäkerhet. Uppgiften riktar sig såväl till enskilda individer som till näringsliv, kommuner och andra myndigheter och organisationer. – Analysera och bedöma omvärldsutvecklingen inom området – Rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan föranleda behov av åtgärder inom olika nivåer och områden i samhället – Redovisa vilka åtgärder som myndigheten och andra berörda myndigheter har genomfört utifrån den nationella handlingsplanen för informationssäkerhet – Samordna arbetet med att säkra kryptografiska funktioner – Stödja medieföretagens beredskapsplanering. – Högst kronor får användas för drift och vidmakthållande av vissa reservfunktioner inom etermedia

6 Nationellt informationssäkerhetsarbete Finans- departementet Närings- departementet Försvars- departementet Justitie- departementet E-Delegationen Datainspektionen Personlig integritet PTS (Post- och Telestyrelsen) Internetsäkerhet Sitic (CERT) FMV (Försvarets Materielverk) Certification Body Common Criteria (CC) MSB Stödja och samordna arbetet med samhällets informationssäkerhet FRA (Försvarets Radioanstalt) Penetrationstester Signalskydd Försvarsmakten Säpo Rikets säkerhet /Säkerhetsskyddslagen Säkerhetsanalyser Rikskriminalpolisen IT-relaterad brottslighet

7 SAMVERKAN •Informationssäkerhetsrådet – Ca 15 externa ledamöter •SAMFI - samverkansgrupp för informationssäkerhet – PTS/Sitic, RPS/SÄPO, FM, FRA, FMV/Csec, MSB •Fidi SCADA – Grupp för informationsdelning med inriktning på digitala kontrollsystem •Fidi FINANS – Grupp för informationsdelning med inriktning på finanssektorn •Nätverk m m – SNITS (myndigheter), NIS (landsting), SWITS (forskning) mfl. Samverkan en absolut förutsättning för att lyckas… Samverkansgrupper

8 Handlingsplan för samhällets informationssäkerhet •Lämnades till regeringen •Består av 47 åtgärdsförslag för att förbättra samhällets informationssäkerhet med konkretiseringar kring – Kostnad – Tid – Ansvar •Berör hela samhället – från normaltillstånd till kris •Viktiga utgångspunkter – KBM:s lägesbedömning 2008 (Hot, sårbarheter och risker) – Infosäkutredningens rapporter – Bred samverkan med aktörer från hela samhället

9 Åtgärdsområden i handlingsplanen •Författningsöversyn och föreskriftsrätt •Informationssäkerhet i verksamheter •Kompetensförsörjning •Informationsdelning, samverkan och respons •Kommunikationssäkerhet •Säkerhet i produkter och system •Förvaltning av handlingsplanen

10 Några pågående projekt med Nationella handlingsplanen för informationssäkerhet som grund •Föreskriftsarbete – Styrning av statliga myndigheters informationssäkerhetsarbete (VERVAFS till MSBFS ) – Krav på FM-godkända krypto för civilt bruk (KBMFS till MSBFS) – Obligatorisk incidentrapportering för statliga myndigheter – Krav på användning av evaluerade produkter •”SVISA” – Projekt för att utforma regelverk, riktlinjer och stöd för organisationers informationssäkerhetsarbete. •SCADA – Projekt för utveckling av området ”industriella kontrollsystem”

11 Projektet SVISA – Stöd för Verksamheters Informationssäkerhetsarbete •Område 1 – Ramverk, modeller och metoder •Område 2 – Vägledningar och informationsmateriel •Område 3 – Produktkrav och upphandling •En viktig grund är etablerade standarder. – serien ger god helhetssyn på informationssäkerhet – Associerade standarder kan ge bra stöd inom vitala områden – Översyn av BITS/BITS-plus •Viktigt med stödresurser i form av konsulter och produkter. – Utveckling behövs!!

12 SVISA struktur •Grupp för projektstyrning •Referensgrupp: SAMFI •Delprojekt 1: Modeller, metoder och ramverk, ex: – Nationellt ramverk för informationssäkerhet – Värderingssystem för informationssäkerhet •Delprojekt 2: Vägledningar och informationsmaterial, ex: – Informationsmaterial till myndighetsledningar – Informationspaket gällande säkra kryptografiska produkter – •Delprojekt 3: Produktkrav och upphandling, ex: – Rekommendationer för kravställning vid upphandling – Bibliotek med CC-evaluerade skyddsprofiler –

13 Modell för klassificering av information (Rekommendation) Informationssäkerhetsaspekter •Konfidentialitet, riktighet och tillgänglighet – Definitioner både från SIS Handbok 550 och LIS •Modellen kan kompletteras med flera aspekter som t ex spårbarhet hos enskilda organisationer Konsekvensnivåer •Vad händer vid förlust av konfidentialitet, riktighet eller tillgänglighet hos viss information? •Ej likställt med skyddsnivå •Fyra nivåer av konsekvensnivåer: – Allvarlig – Betydande – Måttlig – Ingen/försumbar

14 S ä kerhetsaspekt/ Konsekvensniv å KonfidentialitetRiktighet Tillg ä nglighet Allvarlig Information d ä r f ö rlust av konfidentialitet inneb ä r allvarlig/katastrofal negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Information d ä r f ö rlust av riktighet inneb ä r allvarlig/katastrofal negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Information d ä r f ö rlust av tillg ä nglighet inneb ä r allvarlig/katastrofal negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Betydande Information d ä r f ö rlust av konfidentialitet inneb ä r betydande negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Information d ä r f ö rlust av riktighet inneb ä r betydande negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Information d ä r f ö rlust av tillg ä nglighet inneb ä r betydande negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. M å ttlig Information d ä r f ö rlust av konfidentialitet inneb ä r m å ttlig negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Information d ä r f ö rlust av riktighet inneb ä r m å ttlig negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Information d ä r f ö rlust av tillg ä nglighet inneb ä r m å ttlig negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Ingen eller f ö rsumbar Information d ä r det inte f ö religger krav p å konfidentialitet, eller d ä r f ö rlust av konfidentialitet inte medf ö r n å gon eller endast f ö rsumbar negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Information d ä r det inte f ö religger krav p å riktighet, eller d ä r f ö rlust av riktighet inte medf ö r n å gon eller endast f ö rsumbar negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild individ. Information d ä r det inte f ö religger krav p å tillg ä nglighet, eller d ä r f ö rlust av tillg ä nglighet inte medf ö r n å gon eller endast f ö rsumbar negativ p å verkan p å egen eller annan organisation och dess tillg å ngar, eller p å enskild.

15 Säkerhet i industriella kontrollsystem (SCADA) - Pågående aktiviteter •Medvetandehöjning – Vägledningsdokument (”SCADA-guide”) – Teknisk utbildning för infrastrukturoperatörer – Föreläsningar och presentationer •Samverkan och informationsdelning – FIDI-SC (nationell POS) – Ag.FIDI-SAMFI-SC (arbetsgrupp SAMFI) – E-SCSIE (Europeisk POS, MSB ordförande) – MPCSIE (Internationell, Gov. only) •Praktiska åtgärder för att öka säkerheten (skapa en teknisk plattform)

16 Säkerhet i industriella kontrollsystem (SCADA) - Teknisk plattform Teknisk plattform ”SCADA-labb” Teknisk utbildning och medvetandehöjning Teknisk övnings- verksamhet (experiment) Teknisk studie- verksamhet (nationell kompetens) Tekniska SAMFI-aktiviteter (urval): •Praktisk säkerhetsgranskning av kontrollsystem i kritisk infrastruktur (PASS-projektet). Samverkan KBM, FOI, FRA, Säpo och näringsliv. •Övning och utbildning vid Idaho National Lab, november 2008 (21 personer, teknisk personal från FM, FOI, FRA, KBM, Säpo), upprepning •2010

17 Vägledning till ökad säkerhet i digitala kontrollsystem i samhällsviktig verksamhet

18 • Common Criteria är en standard för hur man ställer krav, deklarerar och evaluerar säkerhet i IT-produkter och ‑ system i deras användningsmiljöer • CC är ett ramverk för hur man beskriver de funktionella kraven på IT- säkerhet i en produkt eller ett system, inte en samling krav i sig • CC fokuserar på behov av informationssäkerhet utgående från krav på konfidentialitet, tillförlitlighet och tillgänglighet som uppstår på grund av avsiktliga eller oavsiktliga hot Vad är Common Criteria? CCRA - en internationell samarbetsorganisation för ömsesidigt erkännande av certifikat för IT-produkter och IT-system enligt standarden Common Criteria. • MSB är svensk signatär i CCRA • FMV är den svenska certifieringsorganisationen FMV/CECE Mer info:

19 Idéskiss - Övergripande process för samhällets informationssäkerhet Strategi för samhällets informationssäkerhet Revideras under första kvartalet 2010 Revideras - Januari Revidering av handlings- plan juni Januari Lägesbedömning (LB) – Samhällets informations- säkerhet Oktober Anm: Sker i samverkan med informationssäkerhetsrådet, SAMFI och andra aktörer

20 Frågor? Wiggo Öberg


Ladda ner ppt "Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet."

Liknande presentationer


Google-annonser