Värdering och klassificering av informationstillgångar

Slides:



Advertisements
Liknande presentationer
Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet.
Advertisements

Säkerställd intern styrning och kontroll
Federativa lösningar Hur blir federativa lösningar en naturlig grund för elektronisk samverkan mellan kommuner, myndigheter, landsting, privata utförare.
Målstyrning utifrån Lag om skydd mot olyckor
Synpunktssystem Vilka ändringar har gjorts i riktlinjen för synpunkthanteringen? Vad innebär ändringarna för dig som arbetsledare? Synpunkter som grund.
Nationella screeningprogram
? Presentation E-Lin
Meny •Hem: Visar denna sida. Kan användas för allmän info •ProNavigo visar Modellen, mallar, checklistor •Projektlänkar: visar en undermeny med lämpliga.
EIO-Q Ledningssystem - leder till bättre resultat
Praktisk nytta och användning av SS-ISO/IEC och 27002
Fujitsu 1. © Fujitsu 2008 Stockholm Libris inspirationsdag Kristian Wallin Anne Sandfær Fujitsu Services A/S.
Solen Skolskjuts Användarmöte / /23.
AGENDA Inledning, bakgrund, premisser för upphandlingen Strategier
SS Standard för tekniska försörjningssystem
Myndigheten för samhällsskydd och beredskap – MSB
HUR GÖR BORN GLOBALS? – OM FÄLLOR OCH FRAMGÅNGSFAKTORER FÖR UTLANDSFÖDDA FÖRETAG Sara Melén och Emilia Rovira Nordman Handelshögskolan i Stockholm.
Risk- och sårbarhetsanalyser Handlingsprogram
Försöksverksamhet 2007 Universitetsförvaltningen Uppdragets bakgrund, syfte och mål Avidentifierade ansökningshandlingar.
Bättre inköp! Att forma en organisation, och skapa verktyg och rutiner, som möjliggör för universitetet att följa lagar och regler inom inköpsområdet.
Nationell strategi för eHälsa och Socialstyrelsens roll
Reglemente för God hushållning och intern kontroll
1 Medarbetarenkät svar. 2 Kön 3 Jag är knuten till en klass, undervisningsgrupp eller barngrupp.
Övergripande inriktning för samhällsskydd och beredskap
Att få rätt saker att hända
Mina meddelanden Juridik & Informationssäkerhet Jeanna Thorslund Jurist Center för eSamhället.
Informationssäkerhet - en översikt
Krisberedskap – före – under - efter
Modell för Utveckling av ledningssystem
Konfigurationsanalys Cosmic. ”Agenda” Sammanfattning Bakgrund Metodik/Angreppssätt Avgränsningar Resultat Observationer Slutsats och rekommendationer.
ISO – Vägledning för kvalitetsledning i projekt
Systematiskt kvalitetsarbete i våra kommuner
Standarder Standarder styr utvecklingen av produkter och tjänster i samhället Näst efter våra lagar och förordningar är det standarder som reglerar vår.
Säkerhetschef/informationssäkerhetschef
Riktlinjer för tillgänglig information och kommunikation Rådet för funktionshinderfrågor 27 september 2012 Jan Terneby.
Nya föreskrifter och allmänna råd
1 Innehåll Branschen  Vision  Förhållningssätt  Fjärrvärmens idé Föreningen  Verksamhetsidé  Rollfördelning  Strategiska prioriteringar Mål  Kommunikation.
Provtagningens betydelse! 20 § Provtagning av avfallet ska ske enligt en provtagningsplan som ska utarbetas i enlighet med SS-EN 14899:2005 (NFS 2010:4)
Användarrådet för EBH-stödet
Teknisk nämnden Nämndutveckling Underlag och utkast till uppläggning.
Riktlinjer Dokumentation Kompetens- utveckling Stödmaterial.
Riskgranskning av organisatoriska förändringar
Gemensamma grunder för samverkan och ledning vid samhällsstörningar
Lunds universitet / Samordnat IT-stöd vid LU / Mars 2010 NETinfo-möte Samordnat IT-stöd Lunds universitet Johnny Nilsson, PL Birgitta Lastow,
Samma musik men olika teknik Tekniken byts ungefär vart femte år. Informationsinnehållet har oftast en livslängd som är 25–30 år, ibland ännu längre. Besluten.
Om denna presentation: Version Denna PPT-presentation tillsammans med det talspråksmanus du hittar i anteckningssidorna är framtaget för att.
Krishanteringssystemet & grundläggande lagar
Om denna presentation: Version Denna PPT-presentation tillsammans med det talspråksmanus du hittar i anteckningssidorna är framtaget för att.
Hur skapar vi robusta välfärdstjänster? Samhället förlitar sig allt mer på nätinfrastrukturen. Vad finns det för risker med detta och hur skapar vi robusta.
Informationssäkerhet + arkiv = sant? Johan Andersson, Mälardalens högskola
Regeringsuppdraget Nationell informationsstruktur för vård och omsorg Monica Winge Socialstyrelsen.
Informationsmöte kring E- legitimationsnämndens arbete mot morgondagens digitala behov.
Gemensamma grunder för samverkan och ledning vid samhällsstörningar #grundSoL Introduktion till gemensamma grunder för samverkan.
Om denna presentation: Version Denna PPT-presentation tillsammans med det talspråksmanus du hittar i anteckningssidorna är framtaget för att.
Introduktion till kontinuitetshantering
Introduktion till The Rational IT Model
Vad är informationssäkerhet?
Vägledning 5 steg för att följa Dataskyddsförordningen
SLL om tjänster för det kommunala området
Risk- och sårbarhetsanalyser
”Hur arbetar vi i ambulanssjukvården som en del i framtidens sjukvård”
Ledningens genomgång: Informationssäkerhet Mall där allt underlag finns i denna presentation Datum 2018-XX-XX.
Informationssäkerhet – en möjliggörare för att uppnå verksamhetens mål
INFORMATIONSSÄKERHETSPROGRAM 2020
I offentlighetens tjänst
INFORMATIONSSÄKERHETSPROGRAM 2020
Ledningens genomgång: Informationssäkerhet mall kortversion – underlag i annat underlag Datum 2018-XX-XX.
Om bildspelet Det här bildspelet är tänkt att vara ett stöd till dig som ska kommunicera hur kontinuitetshantering hänger ihop med andra områden. Det kan.
Inriktnings- och samordningsfunktion på lokal nivå
Om bildspelet Det här bildspelet är tänkt att vara ett stöd till dig som ska kommunicera hur kontinuitetshantering hänger ihop med andra områden. Det kan.
Inriktnings- och samordningsfunktion på lokal nivå
Presentationens avskrift:

Värdering och klassificering av informationstillgångar Aspekter på Värdering och klassificering av informationstillgångar Utformning av en gemensam modell för klassificering av information Per Oscarson Myndigheten för samhällsskydd och beredskap – MSB

Per Oscarson Handläggare på MSB:s Informationssäkerhetsenhet Handlingsplan för samhällets informationssäkerhet Strategi för samhällets informationssäkerhet (pågående) Forskare (post doc) vid Svenska Handelshögskolan på Örebro universitet (värdering av informationstillgångar) Medlem i SIS tekniska kommitté 318 och ISO/IEC JTC 1 SC 27 – (främst 27004, revision av 27001 och 27002) Fil lic och fil dr på Linköpings universitet Informationssäkerhet i verksamheter (2001) Actual and Perceived Information Systems Security (2007) Har tidigare varit universitetsadjunkt och konsult

Innehåll Myndigheten för samhällsskydd och beredskap – MSB En gemensam modell för klassificering av information Vad är informationstillgångar? Informationstillgångars betydelse för säkerheten Informationstillgångar och processen enligt LIS Utveckling av modellen Vad ska klassificeras? Grunder för värdering Informationssäkerhetsaspekter Konsekvensnivåer Tillämpning av modellen Fortsatt arbete: metod för hantering av informationstillgångar

Myndigheten för samhällsskydd och beredskap (MSB) Bildades 2009-01-01 Ersätter KBM, Räddningsverket och Styrelsen för psykologiskt försvar Ca 800 anställda Verksamhet i Stockholm, Karlstad, Sandö och Revingehed Informationssäkerhetsenheten 18 personer MSB:s mandat inom informationssäkerhet liknande som KBM:s men med ytterligare kraft: Har föreskriftsrätt inom informationssäkerhet Verva lades ned 2009-01-01

Gemensam modell för klassificering av information Åtgärdsförslag nr 13 i handlingsplanen för samhällets informationssäkerhet Projektet Grundläggande informationssäkerhet genomför åtgärdsförslag som riktar sig mot informationssäkerhet hos myndigheter och andra organisationer Främst Kapitel 5 – Informationssäkerhet i verksamheter I första hand material som stödjer myndigheters tillämpning av SS-ISO/IEC 27000-serien (Vervas föreskrift)* Rekommendation, ej krav på tillämpning * Föreskriften väntas föras över till MSB eftersom Verva har upphört

Kapitel 5. Informationssäkerhet i verksamheter Myndighetsledningars formella ansvarstagande för hantering av informationssäkerhetsrisker Förtydligande av informationssäkerhet i vägledningar för risk- och sårbarhetsanalyser Rekommendationer för kravställning vid upphandlingar Informationsmaterial till myndighetsledningar Rekommendationer för tillämpning av LIS Stödmaterial för införande av LIS Utveckling och införande av ett värderingssystem Gemensam modell för klassificering Grundläggande nivå för informationssäkerhet

Projektet Grundläggande informationssäkerhet Projektgrupp: Per Oscarson, MSB (projektledare) Helena Andersson, MSB Bengt Janulf, KBM Roger Karlsson, KBM Bertil Lindberg, KBM Wiggo Öberg, MSB Jan-Olov Andersson, SIS TK 318/Läkemedelsverket Bengt Rydstedt, SIS TK 318 Mats Ohlin, FMV Dag Ströman, FMV Dan Larsson, FRA Fredrik Karlsson, Örebro universitet Konsulter: Lars Söderlund, Ulf Ekengren, Göran Hägnemark

Referensgrupper MSB:s informationssäkerhetsråd Samverkansrådet för informationssäkerhet (SAMFI) FM, FMV, FRA, MSB, PTS, RKP/Säpo SNITS SIS TK 318

Motiv för en gemensam modell Från myndigheter och andra har det framförts att man har problem med informationsklassificering Starkt stöd vid framtagningen av handlingsplanen Att tillämpa en modell för klassificering av information är ett krav i SS-ISO/IEC 27001 Men stödet för detta är svagt i standarder och andra ramverk En gemensam modell underlättar kommunikation mellan organisationer En gemensam modell kan fungera som underlag för framtida vägledningar och regleringar

Utgångspunkter för en nationell modell Anpassad till SS-ISO/IEC 27000-serien Generisk – vara tillämpar för alla typer av organisationer Enkel att tillämpa All typ av information Neutral vad gäller legala krav

Vad är informationstillgångar? Information och resurser för att hantera information Skyddsobjektet inom informationssäkerhet! Informationssäkerhetsarbete innebär att uppnå önskad nivå av konfidentialitet, riktighet och tillgänglighet hos informationstillgångar Säkerhet hos informationstillgångar påverkar inte sällan andra tillgångar som personal, maskiner, omvärldens förtroende m m. 11

Två grundkategorier Informationstillgångar Informations-hanterande resurser Information Om exempelvis Personal, ekonomi, kunder, produkter… Hanterar Understödjande tillgångar (SS-ISO/IEC 27005) Primära tillgångar (SS-ISO/IEC 27005) 12

Informationstillgångars betydelse för säkerheten Hot(källa) Skydd Informations-tillgång Tre objekt påverkar säkerheten/risken* D v s att en incident inträffar och de konsekvenser denna medför Befintliga hot(-källor); förmåga, kraft, intention osv. Skydd; På vilket sätt tillgångarna är skyddade Tekniska, administrativa, kunskapsbaserade Men även tillgångarna i sig påverkar! * Oscarson (2007) Actual and Perceived Information Systems Security 13

Informationstillgångars betydelse för säkerheten Hot(-källa) Skydd Informations-tillgång Informationstillgångar påverkar säkerheten/risken Dess värde för organisationen eller annan part påverkar konsekvensen Dess attraktivitet för hotkällor påverkar sannolikheten Dess exponering för hotkällor påverkar sannolikheten 14

Informationstillgångar och processen enligt LIS Informationstillgångarna styr riskerna Viktig del i riskidentifieringen (avs. 4.2.1 i 27001) Svagt stöd hur detta går till i 27001 Ny standard 2008: ISO/IEC 27005:2008 Information Security Risk Management Annex B innehåller kategorisering som stöd för identifiering, samt viss stöd för värdering och klassificering Ansvar för tillgångar samt klassificering av information utifrån en antagen klassificeringsmodell är dessutom krav i 27001, med vägledning i 27002 SS-ISO/IEC 27001: Bilaga A: A.7 Hantering av tillgångar SS-ISO/IEC 27002: Kapitel 7 Hantering av tillgångar 15

Krav enligt SS-ISO/IEC 27001:2006 A.7.1 Ansvar för tillgångar Mål: Att uppnå och upprätthålla lämpligt skydd för organisationens tillgångar A.7.1.1 Förteckning över tillgångar Alla tillgångar ska tydligt markeras och en förteckning omfattande alla viktiga tillgångar ska upprättas och underhållas A.7.1.2 Ägarskap för tillgångar All information och tillgångar tillhörandes informationsbehandlingsresurserna ska ”ägas” av en utsedd organisationsenhet A.7.1.3 Godtagbar användning av tillgångar Regler för hur information och tillgångar tillhörandes informationsbehandlingsresurser får användas ska utformas, dokumenteras och införas 16

Krav enligt SS-ISO/IEC 27001:2006 A.7.2 Klassificering av information Mål: Att säkerställa att information erhåller en lämplig skyddsnivå A.7.2.1 Riktlinjer för klassificering Information ska klassificeras i termer av dess värde, legala krav, känslighet och betydelse för organisationen A.7.2.2 Märkning och hantering av information En lämplig uppsättning rutiner för märkning och hantering av information ska utvecklas och införas i enlighet med det klassificeringssystem som antagits av organisationen 17

Principer vid utformning av klassificeringsmodell Information och/eller resurser? Ska t ex system klassas, eller informationen? Vilka aspekter ska finnas med? Konfidentialitet, riktighet, tillgänglighet, spårbarhet…? Hur ska dessa definieras? Vilken typ av nivåer ska finnas? Skyddsvärde, informationsvärde, konsekvensnivå? Antal konsekvensnivåer? Ska t ex en ”nollnivå” finnas med? Hantering av juridiska regleringar 18

Dokumentet Klassificering av information Kortfattat om klassificering av information i informationssäkerhetsarbetet Koppling till SS-ISO/IEC 27001, 27002 och 27005 Modell för klassificering av information Definitioner av säkerhetsaspekter och konsekvensnivåer Tillämpning av modellen Mottagare till modellen Vad ska klassificeras? Juridiska aspekter Tidsaspekten

Tillämpning av modellen Informationsklassificering fundamentalt för säkerheten En grundsten riskhanteringsprocessen Styr behörigheter, skyddsnivåer etc. Gör det enkelt för användarna – onödigt komplexa klassificeringssystem är sällan effektiva Skapa mallar som informationsägare (el. motsv.) kan använda Klassningen är inte statisk Information kan ”vandra” mellan klasser Krav kan variera över tid, och variera geografiskt Undvik överklassificering Kan innebära onödiga kostnader En liten känslig informationsmängd kan ställa höga krav på ett helt stort system 20

Identifiering av informationstillgångar Konsulter bäst på hot och skydd Experterna på informationstillgångar finns i verksamheten! Utgå från verksamheten och dess ansvariga Marknad, produktion, personal, IT etc. Informationsägare, systemägare, processägare eller motsvarande Använd befintliga förteckningar Kvalitets- dokumentationssystem, andra förteckningar, t ex över IT-system, i samband med försäkringar etc. Skapa mallar och lathundar för som stöd till informationsägare el motsv. Externa informationstillgångar Verksamheter är ofta beroende av extern information och andra resurser 21

Hur värdera konsekvenser? Marknadsvärde/ersättningskostnad Även bikostnader, t ex arbetskostnader, väntetider, produktionsstörningar, strul… Externa krav Kunder, leverantörer, partners, medborgare/allmänhet Legala krav Böter, Förtroendebrister Andra värden som inte är monetära T ex etik, tradition/identitet, förtroende Ackumuleringseffekter Stor mängd icke-känslig information kan sammantaget bli känslig Svårt att veta totala kostnaden i förväg! Bikostnader och indirekta kostnader som t ex förlust av förtroendekapital är svåra att förutse 22

Fortsatt arbete Publicering av klassificeringsmodellen i maj Nystart av projektet Grundläggande informationssäkerhet Roadmap för övriga åtgärder i handlingsplanen kopplade till informationssäkerhet i verksamheter Metod för identifiering och värdering av informationstillgångar – Örebro universitet