Vad är informationssäkerhet? Med informationssäkerhet avses organisatorisk och tekniska säkerhetsfrågor i informationsförvaltning och informationshantering, personuppgiftshantering och dataskydd, systemsäkerhet och IT-säkerhet. Informationssäkerhet är förmågan hos en organisation att hantera informationen så att legala, etisk och verksamhetsmässiga intentioner upprätthålls Tillgänglighet, riktighet, sekretess och spårbarhet
Varför måste man göra riskanalyser och klassa information och system Om man inte bedömer/klassar värdet utifrån verksamhetsperspektiv/lagar hur ska man då kunna lägga på rätt skyddsåtgärder. En kedja är inte starkare än dess svagaste länk.
Ramverkets struktur Klarlägga hur ramverk med dokument och rutiner hänger ihop
triggers i processer, rutiner, checklistor Ramverk - struktur riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor policy
triggers i processer, rutiner, checklistor Ramverk - struktur riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem
triggers i processer, rutiner, checklistor Ramverk - struktur Exempel på innehåll ”Informationssäkerhetspolicy” Varför och att det ska göras Att; all information, oavsett media, ska ha en lämplig säkerhetsnivå utifrån verksamhetens krav på konfidentialitet, integritet och tillgänglighet. Att; en god informationssäkerhet ska säkerställas genom: kontinuerliga förbättringar med stöd av ledningssystemet Att; värdering och klassificering av all information sker för att kunna ge den rätt skydd avseende hantering och lagring Att; informationssäkerhet beaktas i alla våra arbetsprocesser. Att; ägare och därmed ansvarig för viktiga informations-tillgångar utses. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem
triggers i processer, rutiner, checklistor Ramverk - struktur Ex. på innehåll ”riktlinje för informationssäkerhet”: Kap. 5 Åtkomst Alla användaridentiteter ska vara personliga. Delade identiteter ska inte förekomma utan informationsägarens beslut. Tilldelade behörigheter ska motsvara aktuellt behov. Metoder för åtkomst till information skall vara utformade efter informationens värde (klassificering) och dess riskexponering. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem
triggers i processer, rutiner, checklistor Ramverk - struktur Ex. på innehåll ”Riktlinje för åtkomst av information”: I processen för tilldelning av behörigheter skall berörda informationsägare bli informerade om tilldelade behörigheter (så att verifiering kan ske). Tilldelning av behörigheter för externa användare ska vara tidsbegränsad för endast den tiden som behövs för att utföra uppgiften. I det fall gruppidentitet behövs skall andra mekanismer kunna styrka vem som gjort vad. Exempelvis via tjänstgöringslistor eller dylikt. Användare ska upplysas om de villkor som gäller kring den åtkomst de fått sig tilldelad. Regelbunden revision av samtliga åtkomsträttigheter ska ske. För de med särskilda åtkomsträttigheter (exempelvis administratörer) skall revision ske med kortare intervall. En förteckning ska föras över alla utdelade användar-ID och rutin ska finnas för regelbunden uppdatering av denna förteckning. Rutinen ska även innehålla kontroll av att inte upphörda användar-ID återanvänds. Historikfunktion ska finnas. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem
triggers i processer, rutiner, checklistor Ramverk - struktur Utifrån exemplet ”Riktlinje för åtkomst av information” så skapas ett antal instruktioner eller anvisningar. Exempelvis: Vid beställning av behörigheter från IT- leverantören så är anvisningen att det görs av administrationen vid nyanställning, där medarbetaren får tillgång till ett eget hemarkiv och läsrättigheter till gemensamma styrdokument. Ska ytterligare behörigheter ges ingår det i anvisningen att respektive informationsägare ska informeras. Vid nya projekt följ anvisning i projektmallen för hur tilldelning av behörigheter ska ske i projektet. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem
triggers i processer, rutiner, checklistor Ramverk - struktur Utifrån exemplet ”Riktlinje för åtkomst av information” så skapas även ett antal triggers, rutiner. Exempelvis: För att tillgodose att användare ska upplysas om de villkor som gäller kring den åtkomst de fått sig tilldelad, så sker det vid informationssäkerhetssamordnarens genomgång av informationssäkerhet för nyanställd, som ska ske i början av anställningen och är en trigger i checklistan ”Då medarbetare börjar”. Informationssäkerhetssamordnaren har ansvar för att se till att regelbunden revision av samtliga åtkomsträttigheter sker, genom att för sig själv skapa en rutin med tidsplanerade aktiviteter. riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Att policy Vad (vem) På vilket sätt När & vem
Kompletterande skrivningar till den övergripande policyn Exempel på ramverk Riktlinjer Strategin för hur man vill ha sin informationssäkerhet i organisationen. Informations-säkerhetspolicy Kompletterande skrivningar till den övergripande policyn Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för åtkomst till information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för loggning Riktlinje för incident-hantering Riktlinjerna beskriver vad man ska ha på plats och vad man behöver tänka på
Exempel på ramverk Anvisningar, regler Har sitt ursprung från riktlinjerna, vad ska åstadkommas och hur löser man det i verksamheten Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information Kompletterar och detaljerar riktlinjerna Anvisning för medarbetare gällande informations-säkerhet Anvisning för klassning av information Anvisning för analys av informations-säkerhetsrisker Regler för tekniska skyddsnivåer för klassade informationsresurser Anvisning för beställning av behörigheter Blankett - BESTÄLLNING av IT-resurser & tjänster Regler för hantering och spridning av information Anvisning för incident-hantering Regler för inköp av informations-behandlings-resurser Blankett - BESTÄLLNING av behörigheter Regler för hur USB-minne får användas Ger stöd i hur man ska utföra en uppgift
Exempel på ramverk Informativa utdrag (anvisningar) Har sitt ursprung från riktlinjer, anvisningar och regler, vad ska åstadkommas och hur löser man det i verksamheten Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information Ger riktad information om vad som gäller viss grupp Vad gäller för en verksamhetschef Vad gäller för informationssäkerhetssamordnaren Vad gäller för IT Vad gäller för informations-resursägare Vad gäller för informationsägare Vad gäller för kommunchef Ger stöd i hur man ska utföra en uppgift
Exempel på ramverk Triggers i processer, rutiner, checklistor Har sitt ursprung från riktlinjer och/eller anvisningar, regler, vad ska åstadkommas, när och vem löser detta i verksamheten Instruktion/process för klassning av information Instruktion tekniska skyddsnivåer för klassade informationsresurser Anvisning för hur USB-minne krypteras Anvisning för medarbetare gällande informations-säkerhet Instruktion för analys av informations-säkerhetsrisker Instruktion/process för incident-hantering Instruktion för beställning av behörigheter Instruktion vid inköp av informations-behandlings-resurser Blankett - BESTÄLLNING av IT-resurser & tjänster Blankett - BESTÄLLNING av behörigheter Regler för hantering och spridning av information Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information För in kompletterande detaljerar så att det händer i verksamheten Trigger i rekryterings-processen och i checklista då någon börjar och slutar Anvisning för informationssäkerhetsrådets möten och ledningens genomgång Rutin för vidimering av behörigheter Rutin för uppföljning av informations-säkerhet (efterlevnad) Rutin för att bedöma att information har ”rätt” informations-klass Trigger vid inköp ifall köpet har påverkan på informations-säkerheten Trigger i projekt för behörighets-tilldelning och riskanalys Rutin för revidering av kontinuitetsplan Anger vem och när man ska utföra en uppgift
triggers i processer, rutiner, checklistor Ramverk - struktur riktlinjer anvisningar, regler triggers i processer, rutiner, checklistor Informations-säkerhetspolicy Att policy Riktlinje för tekniska skyddsåtgärder för klassade informations-resurser Riktlinje för roller och ansvar för informations-säkerhetsarbetet Riktlinje för klassning och hantering av information Riktlinje för hantering av informations-säkerhetsrisker Riktlinje för kontinuitets-planering Riktlinje för incident-hantering Riktlinje för loggning Riktlinje för fysiskt skydd Riktlinje för drift och data-kommunikation Riktlinje för åtkomst till information Riktlinjer för informations-säkerhet Vad (vem) Instruktion/process för klassning av information Instruktion tekniska skyddsnivåer för klassade informationsresurser Anvisning för hur USB-minne krypteras Anvisning för medarbetare gällande informations-säkerhet Instruktion för analys av informations-säkerhetsrisker Instruktion/process för incident-hantering Instruktion för beställning av behörigheter Instruktion vid inköp av informations-behandlings-resurser Blankett - BESTÄLLNING av IT-resurser & tjänster Blankett - BESTÄLLNING av behörigheter Regler för hantering och spridning av information På vilket sätt Rutin för revidering av kontinuitetsplan Trigger vid inköp ifall köpet har påverkan på informations-säkerheten Rutin för att bedöma att information har ”rätt” informations-klass Rutin för uppföljning av informations-säkerhet (efterlevnad) Rutin för vidimering av behörigheter Trigger i projekt för behörighets-tilldelning och riskanalys Rutin för säkerhets-gruppens möten och ledningens genomgång Trigger i rekryterings-processen och i checklista då någon börjar och slutar När & vem
Begreppsförvirring utifrån arbetsuppgift/utbildning/lagar/riktlinjer -Dokumenthanteringsplan -Säkerhetsklassning -Klassa -Informationskartläggning -Klassning av information Het debatt om hur detta ska göras och vad som skapar ett mervärde för verksamheten.