Presentation laddar. Vänta.

Presentation laddar. Vänta.

Värdering och klassificering av informationstillgångar

Publicerades avSofia Bengtsson

Liknande presentationer

En presentation över ämnet: "Värdering och klassificering av informationstillgångar"— Presentationens avskrift:

1 Värdering och klassificering av informationstillgångar
Aspekter på Värdering och klassificering av informationstillgångar Utformning av en gemensam modell för klassificering av information Per Oscarson Myndigheten för samhällsskydd och beredskap – MSB

2 Per Oscarson Handläggare på MSB:s Informationssäkerhetsenhet
Handlingsplan för samhällets informationssäkerhet Strategi för samhällets informationssäkerhet (pågående) Forskare (post doc) vid Svenska Handelshögskolan på Örebro universitet (värdering av informationstillgångar) Medlem i SIS tekniska kommitté 318 och ISO/IEC JTC 1 SC 27 – (främst 27004, revision av och 27002) Fil lic och fil dr på Linköpings universitet Informationssäkerhet i verksamheter (2001) Actual and Perceived Information Systems Security (2007) Har tidigare varit universitetsadjunkt och konsult

3 Innehåll Myndigheten för samhällsskydd och beredskap – MSB
En gemensam modell för klassificering av information Vad är informationstillgångar? Informationstillgångars betydelse för säkerheten Informationstillgångar och processen enligt LIS Utveckling av modellen Vad ska klassificeras? Grunder för värdering Informationssäkerhetsaspekter Konsekvensnivåer Tillämpning av modellen Fortsatt arbete: metod för hantering av informationstillgångar

4 Myndigheten för samhällsskydd och beredskap (MSB)
Bildades Ersätter KBM, Räddningsverket och Styrelsen för psykologiskt försvar Ca 800 anställda Verksamhet i Stockholm, Karlstad, Sandö och Revingehed Informationssäkerhetsenheten 18 personer MSB:s mandat inom informationssäkerhet liknande som KBM:s men med ytterligare kraft: Har föreskriftsrätt inom informationssäkerhet Verva lades ned

5 Gemensam modell för klassificering av information
Åtgärdsförslag nr 13 i handlingsplanen för samhällets informationssäkerhet Projektet Grundläggande informationssäkerhet genomför åtgärdsförslag som riktar sig mot informationssäkerhet hos myndigheter och andra organisationer Främst Kapitel 5 – Informationssäkerhet i verksamheter I första hand material som stödjer myndigheters tillämpning av SS-ISO/IEC serien (Vervas föreskrift)* Rekommendation, ej krav på tillämpning * Föreskriften väntas föras över till MSB eftersom Verva har upphört

6 Kapitel 5. Informationssäkerhet i verksamheter
Myndighetsledningars formella ansvarstagande för hantering av informationssäkerhetsrisker Förtydligande av informationssäkerhet i vägledningar för risk- och sårbarhetsanalyser Rekommendationer för kravställning vid upphandlingar Informationsmaterial till myndighetsledningar Rekommendationer för tillämpning av LIS Stödmaterial för införande av LIS Utveckling och införande av ett värderingssystem Gemensam modell för klassificering Grundläggande nivå för informationssäkerhet

7 Projektet Grundläggande informationssäkerhet
Projektgrupp: Per Oscarson, MSB (projektledare) Helena Andersson, MSB Bengt Janulf, KBM Roger Karlsson, KBM Bertil Lindberg, KBM Wiggo Öberg, MSB Jan-Olov Andersson, SIS TK 318/Läkemedelsverket Bengt Rydstedt, SIS TK 318 Mats Ohlin, FMV Dag Ströman, FMV Dan Larsson, FRA Fredrik Karlsson, Örebro universitet Konsulter: Lars Söderlund, Ulf Ekengren, Göran Hägnemark

8 Referensgrupper MSB:s informationssäkerhetsråd
Samverkansrådet för informationssäkerhet (SAMFI) FM, FMV, FRA, MSB, PTS, RKP/Säpo SNITS SIS TK 318

9 Motiv för en gemensam modell
Från myndigheter och andra har det framförts att man har problem med informationsklassificering Starkt stöd vid framtagningen av handlingsplanen Att tillämpa en modell för klassificering av information är ett krav i SS-ISO/IEC 27001 Men stödet för detta är svagt i standarder och andra ramverk En gemensam modell underlättar kommunikation mellan organisationer En gemensam modell kan fungera som underlag för framtida vägledningar och regleringar

10 Utgångspunkter för en nationell modell
Anpassad till SS-ISO/IEC serien Generisk – vara tillämpar för alla typer av organisationer Enkel att tillämpa All typ av information Neutral vad gäller legala krav

11 Vad är informationstillgångar?
Information och resurser för att hantera information Skyddsobjektet inom informationssäkerhet! Informationssäkerhetsarbete innebär att uppnå önskad nivå av konfidentialitet, riktighet och tillgänglighet hos informationstillgångar Säkerhet hos informationstillgångar påverkar inte sällan andra tillgångar som personal, maskiner, omvärldens förtroende m m. 11

12 Två grundkategorier Informationstillgångar
Informations-hanterande resurser Information Om exempelvis Personal, ekonomi, kunder, produkter… Hanterar Understödjande tillgångar (SS-ISO/IEC 27005) Primära tillgångar (SS-ISO/IEC 27005) 12

13 Informationstillgångars betydelse för säkerheten
Hot(källa) Skydd Informations-tillgång Tre objekt påverkar säkerheten/risken* D v s att en incident inträffar och de konsekvenser denna medför Befintliga hot(-källor); förmåga, kraft, intention osv. Skydd; På vilket sätt tillgångarna är skyddade Tekniska, administrativa, kunskapsbaserade Men även tillgångarna i sig påverkar! * Oscarson (2007) Actual and Perceived Information Systems Security 13

14 Informationstillgångars betydelse för säkerheten
Hot(-källa) Skydd Informations-tillgång Informationstillgångar påverkar säkerheten/risken Dess värde för organisationen eller annan part påverkar konsekvensen Dess attraktivitet för hotkällor påverkar sannolikheten Dess exponering för hotkällor påverkar sannolikheten 14

15 Informationstillgångar och processen enligt LIS
Informationstillgångarna styr riskerna Viktig del i riskidentifieringen (avs i 27001) Svagt stöd hur detta går till i 27001 Ny standard 2008: ISO/IEC 27005:2008 Information Security Risk Management Annex B innehåller kategorisering som stöd för identifiering, samt viss stöd för värdering och klassificering Ansvar för tillgångar samt klassificering av information utifrån en antagen klassificeringsmodell är dessutom krav i 27001, med vägledning i 27002 SS-ISO/IEC 27001: Bilaga A: A.7 Hantering av tillgångar SS-ISO/IEC 27002: Kapitel 7 Hantering av tillgångar 15

16 Krav enligt SS-ISO/IEC 27001:2006
A.7.1 Ansvar för tillgångar Mål: Att uppnå och upprätthålla lämpligt skydd för organisationens tillgångar A.7.1.1 Förteckning över tillgångar Alla tillgångar ska tydligt markeras och en förteckning omfattande alla viktiga tillgångar ska upprättas och underhållas A.7.1.2 Ägarskap för tillgångar All information och tillgångar tillhörandes informationsbehandlingsresurserna ska ”ägas” av en utsedd organisationsenhet A.7.1.3 Godtagbar användning av tillgångar Regler för hur information och tillgångar tillhörandes informationsbehandlingsresurser får användas ska utformas, dokumenteras och införas 16

17 Krav enligt SS-ISO/IEC 27001:2006
A.7.2 Klassificering av information Mål: Att säkerställa att information erhåller en lämplig skyddsnivå A.7.2.1 Riktlinjer för klassificering Information ska klassificeras i termer av dess värde, legala krav, känslighet och betydelse för organisationen A.7.2.2 Märkning och hantering av information En lämplig uppsättning rutiner för märkning och hantering av information ska utvecklas och införas i enlighet med det klassificeringssystem som antagits av organisationen 17

18 Principer vid utformning av klassificeringsmodell
Information och/eller resurser? Ska t ex system klassas, eller informationen? Vilka aspekter ska finnas med? Konfidentialitet, riktighet, tillgänglighet, spårbarhet…? Hur ska dessa definieras? Vilken typ av nivåer ska finnas? Skyddsvärde, informationsvärde, konsekvensnivå? Antal konsekvensnivåer? Ska t ex en ”nollnivå” finnas med? Hantering av juridiska regleringar 18

19 Dokumentet Klassificering av information
Kortfattat om klassificering av information i informationssäkerhetsarbetet Koppling till SS-ISO/IEC 27001, och 27005 Modell för klassificering av information Definitioner av säkerhetsaspekter och konsekvensnivåer Tillämpning av modellen Mottagare till modellen Vad ska klassificeras? Juridiska aspekter Tidsaspekten

20 Tillämpning av modellen
Informationsklassificering fundamentalt för säkerheten En grundsten riskhanteringsprocessen Styr behörigheter, skyddsnivåer etc. Gör det enkelt för användarna – onödigt komplexa klassificeringssystem är sällan effektiva Skapa mallar som informationsägare (el. motsv.) kan använda Klassningen är inte statisk Information kan ”vandra” mellan klasser Krav kan variera över tid, och variera geografiskt Undvik överklassificering Kan innebära onödiga kostnader En liten känslig informationsmängd kan ställa höga krav på ett helt stort system 20

21 Identifiering av informationstillgångar
Konsulter bäst på hot och skydd Experterna på informationstillgångar finns i verksamheten! Utgå från verksamheten och dess ansvariga Marknad, produktion, personal, IT etc. Informationsägare, systemägare, processägare eller motsvarande Använd befintliga förteckningar Kvalitets- dokumentationssystem, andra förteckningar, t ex över IT-system, i samband med försäkringar etc. Skapa mallar och lathundar för som stöd till informationsägare el motsv. Externa informationstillgångar Verksamheter är ofta beroende av extern information och andra resurser 21

22 Hur värdera konsekvenser?
Marknadsvärde/ersättningskostnad Även bikostnader, t ex arbetskostnader, väntetider, produktionsstörningar, strul… Externa krav Kunder, leverantörer, partners, medborgare/allmänhet Legala krav Böter, Förtroendebrister Andra värden som inte är monetära T ex etik, tradition/identitet, förtroende Ackumuleringseffekter Stor mängd icke-känslig information kan sammantaget bli känslig Svårt att veta totala kostnaden i förväg! Bikostnader och indirekta kostnader som t ex förlust av förtroendekapital är svåra att förutse 22

23 Fortsatt arbete Publicering av klassificeringsmodellen i maj
Nystart av projektet Grundläggande informationssäkerhet Roadmap för övriga åtgärder i handlingsplanen kopplade till informationssäkerhet i verksamheter Metod för identifiering och värdering av informationstillgångar – Örebro universitet

Ladda ner ppt "Värdering och klassificering av informationstillgångar"

Liknande presentationer

Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet.

Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet.
Säkerställd intern styrning och kontroll

Säkerställd intern styrning och kontroll
Federativa lösningar Hur blir federativa lösningar en naturlig grund för elektronisk samverkan mellan kommuner, myndigheter, landsting, privata utförare.

Federativa lösningar Hur blir federativa lösningar en naturlig grund för elektronisk samverkan mellan kommuner, myndigheter, landsting, privata utförare.
Målstyrning utifrån Lag om skydd mot olyckor

Målstyrning utifrån Lag om skydd mot olyckor
Synpunktssystem Vilka ändringar har gjorts i riktlinjen för synpunkthanteringen? Vad innebär ändringarna för dig som arbetsledare? Synpunkter som grund.

Synpunktssystem Vilka ändringar har gjorts i riktlinjen för synpunkthanteringen? Vad innebär ändringarna för dig som arbetsledare? Synpunkter som grund.
Nationella screeningprogram

Nationella screeningprogram
? Presentation E-Lin 2014-04-09.

? Presentation E-Lin
Meny •Hem: Visar denna sida. Kan användas för allmän info •ProNavigo visar Modellen, mallar, checklistor •Projektlänkar: visar en undermeny med lämpliga.

Meny •Hem: Visar denna sida. Kan användas för allmän info •ProNavigo visar Modellen, mallar, checklistor •Projektlänkar: visar en undermeny med lämpliga.
EIO-Q Ledningssystem - leder till bättre resultat

EIO-Q Ledningssystem - leder till bättre resultat
Praktisk nytta och användning av SS-ISO/IEC och 27002

Praktisk nytta och användning av SS-ISO/IEC och 27002
Fujitsu 1. © Fujitsu 2008 Stockholm 2008-04-02 Libris inspirationsdag Kristian Wallin Anne Sandfær Fujitsu Services A/S.

Fujitsu 1. © Fujitsu 2008 Stockholm Libris inspirationsdag Kristian Wallin Anne Sandfær Fujitsu Services A/S.
Solen Skolskjuts Användarmöte 2013-01-22/23 2013-01-22/23.

Solen Skolskjuts Användarmöte / /23.
AGENDA Inledning, bakgrund, premisser för upphandlingen Strategier

AGENDA Inledning, bakgrund, premisser för upphandlingen Strategier
SS Standard för tekniska försörjningssystem

SS Standard för tekniska försörjningssystem
Myndigheten för samhällsskydd och beredskap – MSB

Myndigheten för samhällsskydd och beredskap – MSB
HUR GÖR BORN GLOBALS? – OM FÄLLOR OCH FRAMGÅNGSFAKTORER FÖR UTLANDSFÖDDA FÖRETAG Sara Melén och Emilia Rovira Nordman Handelshögskolan i Stockholm.

HUR GÖR BORN GLOBALS? – OM FÄLLOR OCH FRAMGÅNGSFAKTORER FÖR UTLANDSFÖDDA FÖRETAG Sara Melén och Emilia Rovira Nordman Handelshögskolan i Stockholm.
Risk- och sårbarhetsanalyser Handlingsprogram

Risk- och sårbarhetsanalyser Handlingsprogram
Försöksverksamhet 2007 Universitetsförvaltningen Uppdragets bakgrund, syfte och mål Avidentifierade ansökningshandlingar.

Försöksverksamhet 2007 Universitetsförvaltningen Uppdragets bakgrund, syfte och mål Avidentifierade ansökningshandlingar.
Bättre inköp! Att forma en organisation, och skapa verktyg och rutiner, som möjliggör för universitetet att följa lagar och regler inom inköpsområdet.

Bättre inköp! Att forma en organisation, och skapa verktyg och rutiner, som möjliggör för universitetet att följa lagar och regler inom inköpsområdet.
Nationell strategi för eHälsa och Socialstyrelsens roll

Nationell strategi för eHälsa och Socialstyrelsens roll

Liknande presentationer

Google-annonser