Presentation laddar. Vänta.

Presentation laddar. Vänta.

Värdering och klassificering av informationstillgångar Per Oscarson Myndigheten för samhällsskydd och beredskap – MSB Aspekter på Utformning av en gemensam.

Liknande presentationer


En presentation över ämnet: "Värdering och klassificering av informationstillgångar Per Oscarson Myndigheten för samhällsskydd och beredskap – MSB Aspekter på Utformning av en gemensam."— Presentationens avskrift:

1 Värdering och klassificering av informationstillgångar Per Oscarson Myndigheten för samhällsskydd och beredskap – MSB Aspekter på Utformning av en gemensam modell för klassificering av information

2 Per Oscarson •Handläggare på MSB:s Informationssäkerhetsenhet  Handlingsplan för samhällets informationssäkerhet  Strategi för samhällets informationssäkerhet (pågående) •Forskare (post doc) vid Svenska Handelshögskolan på Örebro universitet (värdering av informationstillgångar) •Medlem i SIS tekniska kommitté 318 och ISO/IEC JTC 1 SC 27 – (främst 27004, revision av och 27002) •Fil lic och fil dr på Linköpings universitet Informationssäkerhet i verksamheter (2001) Actual and Perceived Information Systems Security (2007) •Har tidigare varit universitetsadjunkt och konsult

3 Innehåll •Myndigheten för samhällsskydd och beredskap – MSB •En gemensam modell för klassificering av information •Vad är informationstillgångar? •Informationstillgångars betydelse för säkerheten •Informationstillgångar och processen enligt LIS •Utveckling av modellen  Vad ska klassificeras?  Grunder för värdering  Informationssäkerhetsaspekter  Konsekvensnivåer  Tillämpning av modellen •Fortsatt arbete: metod för hantering av informationstillgångar

4 •Bildades •Ersätter KBM, Räddningsverket och Styrelsen för psykologiskt försvar •Ca 800 anställda •Verksamhet i Stockholm, Karlstad, Sandö och Revingehed •Informationssäkerhetsenheten 18 personer •MSB:s mandat inom informationssäkerhet liknande som KBM:s men med ytterligare kraft: Har föreskriftsrätt inom informationssäkerhet •Verva lades ned Myndigheten för samhällsskydd och beredskap (MSB)

5 Gemensam modell för klassificering av information •Åtgärdsförslag nr 13 i handlingsplanen för samhällets informationssäkerhet •Projektet Grundläggande informationssäkerhet genomför åtgärdsförslag som riktar sig mot informationssäkerhet hos myndigheter och andra organisationer  Främst Kapitel 5 – Informationssäkerhet i verksamheter •I första hand material som stödjer myndigheters tillämpning av SS-ISO/IEC serien (Vervas föreskrift)* •Rekommendation, ej krav på tillämpning * Föreskriften väntas föras över till MSB eftersom Verva har upphört

6 Kapitel 5. Informationssäkerhet i verksamheter •Myndighetsledningars formella ansvarstagande för hantering av informationssäkerhetsrisker •Förtydligande av informationssäkerhet i vägledningar för risk- och sårbarhetsanalyser •Rekommendationer för kravställning vid upphandlingar •Informationsmaterial till myndighetsledningar •Rekommendationer för tillämpning av LIS •Stödmaterial för införande av LIS •Utveckling och införande av ett värderingssystem •Gemensam modell för klassificering •Grundläggande nivå för informationssäkerhet

7 Projektet Grundläggande informationssäkerhet •Projektgrupp: Per Oscarson, MSB (projektledare) Helena Andersson, MSB Bengt Janulf, KBM Roger Karlsson, KBM Bertil Lindberg, KBM Wiggo Öberg, MSB Jan-Olov Andersson, SIS TK 318/Läkemedelsverket Bengt Rydstedt, SIS TK 318 Mats Ohlin, FMV Dag Ströman, FMV Dan Larsson, FRA Fredrik Karlsson, Örebro universitet Konsulter: Lars Söderlund, Ulf Ekengren, Göran Hägnemark

8 Referensgrupper •MSB:s informationssäkerhetsråd •Samverkansrådet för informationssäkerhet (SAMFI)  FM, FMV, FRA, MSB, PTS, RKP/Säpo •SNITS •SIS TK 318

9 Motiv för en gemensam modell •Från myndigheter och andra har det framförts att man har problem med informationsklassificering  Starkt stöd vid framtagningen av handlingsplanen •Att tillämpa en modell för klassificering av information är ett krav i SS-ISO/IEC  Men stödet för detta är svagt i standarder och andra ramverk •En gemensam modell underlättar kommunikation mellan organisationer •En gemensam modell kan fungera som underlag för framtida vägledningar och regleringar

10 Utgångspunkter för en nationell modell •Anpassad till SS-ISO/IEC serien •Generisk – vara tillämpar för alla typer av organisationer  Enkel att tillämpa  All typ av information  Neutral vad gäller legala krav

11 Vad är informationstillgångar? •Information och resurser för att hantera information •Skyddsobjektet inom informationssäkerhet! •Informationssäkerhetsarbete innebär att uppnå önskad nivå av konfidentialitet, riktighet och tillgänglighet hos informationstillgångar •Säkerhet hos informationstillgångar påverkar inte sällan andra tillgångar som personal, maskiner, omvärldens förtroende m m. 11

12 Två grundkategorier 12 Informationstillgångar Informations- hanterande resurser Information Hanterar Om exempelvis Personal, ekonomi, kunder, produkter… Understödjande tillgångar (SS-ISO/IEC 27005) Primära tillgångar (SS-ISO/IEC 27005)

13 Informationstillgångars betydelse för säkerheten •Tre objekt påverkar säkerheten/risken*  D v s att en incident inträffar och de konsekvenser denna medför •Befintliga hot(-källor); förmåga, kraft, intention osv. •Skydd; På vilket sätt tillgångarna är skyddade  Tekniska, administrativa, kunskapsbaserade •Men även tillgångarna i sig påverkar! 13 Informations- tillgång Skydd Hot(källa) * Oscarson (2007) Actual and Perceived Information Systems Security

14 Informationstillgångars betydelse för säkerheten •Informationstillgångar påverkar säkerheten/risken  Dess värde för organisationen eller annan part påverkar konsekvensen  Dess attraktivitet för hotkällor påverkar sannolikheten  Dess exponering för hotkällor påverkar sannolikheten 14 Informations- tillgång Skydd Hot(-källa)

15 Informationstillgångar och processen enligt LIS •Informationstillgångarna styr riskerna Viktig del i riskidentifieringen (avs i 27001) Svagt stöd hur detta går till i •Ny standard 2008: ISO/IEC 27005:2008 Information Security Risk Management Annex B innehåller kategorisering som stöd för identifiering, samt viss stöd för värdering och klassificering •Ansvar för tillgångar samt klassificering av information utifrån en antagen klassificeringsmodell är dessutom krav i 27001, med vägledning i SS-ISO/IEC 27001: Bilaga A: A.7 Hantering av tillgångar SS-ISO/IEC 27002: Kapitel 7 Hantering av tillgångar 15

16 Krav enligt SS-ISO/IEC 27001: A.7.1.1Förteckning över tillgångar Alla tillgångar ska tydligt markeras och en förteckning omfattande alla viktiga tillgångar ska upprättas och underhållas A Ägarskap för tillgångar All information och tillgångar tillhörandes informationsbehandlingsresurserna ska ”ägas” av en utsedd organisationsenhet A.7.1.3Godtagbar användning av tillgångar Regler för hur information och tillgångar tillhörandes informationsbehandlingsresurser får användas ska utformas, dokumenteras och införas •A.7.1 Ansvar för tillgångar Mål: Att uppnå och upprätthålla lämpligt skydd för organisationens tillgångar

17 Krav enligt SS-ISO/IEC 27001: A.7.2.1Riktlinjer för klassificering Information ska klassificeras i termer av dess värde, legala krav, känslighet och betydelse för organisationen A Märkning och hantering av information En lämplig uppsättning rutiner för märkning och hantering av information ska utvecklas och införas i enlighet med det klassificeringssystem som antagits av organisationen •A.7.2 Klassificering av information Mål: Att säkerställa att information erhåller en lämplig skyddsnivå

18 Principer vid utformning av klassificeringsmodell •Information och/eller resurser? Ska t ex system klassas, eller informationen? •Vilka aspekter ska finnas med? Konfidentialitet, riktighet, tillgänglighet, spårbarhet…? Hur ska dessa definieras? •Vilken typ av nivåer ska finnas?  Skyddsvärde, informationsvärde, konsekvensnivå? •Antal konsekvensnivåer?  Ska t ex en ”nollnivå” finnas med? •Hantering av juridiska regleringar 18

19 Dokumentet 1.Klassificering av information •Kortfattat om klassificering av information i informationssäkerhetsarbetet •Koppling till SS-ISO/IEC 27001, och Modell för klassificering av information •Definitioner av säkerhetsaspekter och konsekvensnivåer 3.Tillämpning av modellen •Mottagare till modellen •Vad ska klassificeras? •Juridiska aspekter •Tidsaspekten •Tillämpning av modellen

20 Tillämpning av modellen •Informationsklassificering fundamentalt för säkerheten En grundsten riskhanteringsprocessen Styr behörigheter, skyddsnivåer etc. •Gör det enkelt för användarna – onödigt komplexa klassificeringssystem är sällan effektiva Skapa mallar som informationsägare (el. motsv.) kan använda •Klassningen är inte statisk Information kan ”vandra” mellan klasser Krav kan variera över tid, och variera geografiskt •Undvik överklassificering Kan innebära onödiga kostnader En liten känslig informationsmängd kan ställa höga krav på ett helt stort system 20

21 Identifiering av informationstillgångar •Konsulter bäst på hot och skydd Experterna på informationstillgångar finns i verksamheten! •Utgå från verksamheten och dess ansvariga Marknad, produktion, personal, IT etc. Informationsägare, systemägare, processägare eller motsvarande •Använd befintliga förteckningar Kvalitets- dokumentationssystem, andra förteckningar, t ex över IT-system, i samband med försäkringar etc. •Skapa mallar och lathundar för som stöd till informationsägare el motsv. •Externa informationstillgångar Verksamheter är ofta beroende av extern information och andra resurser 21

22 Hur värdera konsekvenser? •Marknadsvärde/ersättningskostnad Även bikostnader, t ex arbetskostnader, väntetider, produktionsstörningar, strul… •Externa krav Kunder, leverantörer, partners, medborgare/allmänhet •Legala krav  Böter, Förtroendebrister •Andra värden som inte är monetära T ex etik, tradition/identitet, förtroende •Ackumuleringseffekter Stor mängd icke-känslig information kan sammantaget bli känslig •Svårt att veta totala kostnaden i förväg! Bikostnader och indirekta kostnader som t ex förlust av förtroendekapital är svåra att förutse 22

23 Fortsatt arbete •Publicering av klassificeringsmodellen i maj •Nystart av projektet Grundläggande informationssäkerhet •Roadmap för övriga åtgärder i handlingsplanen kopplade till informationssäkerhet i verksamheter •Metod för identifiering och värdering av informationstillgångar – Örebro universitet


Ladda ner ppt "Värdering och klassificering av informationstillgångar Per Oscarson Myndigheten för samhällsskydd och beredskap – MSB Aspekter på Utformning av en gemensam."

Liknande presentationer


Google-annonser