IT stöd för Informationssäkerhet

IT stöd för Informationssäkerhet WHAT RULES?

IT stöd för Informationssäkerhet

IT stöd för Informationssäkerhet KLASSA

IT stöd för Informationssäkerhet

IT stöd för Informationssäkerhet Vi vet… Det finns ett till KLASSA projekt på SKL.

IT stöd för Informationssäkerhet Björn Söderlund It-strateg/ CIO Lidingö stad bjorn.soderlund@lidingo.se www.lidingo.se Twitter: @bjorn_lidingo Styra Stötta Starta Infosäk eArkiv eHälsa eBlomlåda LIKA eTjänsteutveckling Öppna Data … Chomebooks …enkäter…

Vi var med! Arbetsgrupp syd Styrgrupp Josefina Sanchez Eliasson (Lund) Bo-Göran Andersson (Malmö)   Konsultstöd Peter Modin- krav (KnowIT) Charlotta Rudoff- klassningmatris (KnowIT) Mattias Hallin – webverktyg (Nordic Peak) Svar i remiss- KIS Per Ahlström (Gullspång) Jan Svensson (Göteborg) Anders Danielsson (Karlskrona) Styrgrupp Jeanna Thorslund (SKL) Jörgen Sandström (SKL) Jens Lindh (KSL)   Projektledare Björn Söderlund (Lidingö) KSL arbetsgrupp Christer Borgh (Huddinge) Henrik Tedeby (Haninge) Björn Gustafsson (Stockholm) Martin Johnson (Sollentuna) Ulrika Nordquist (Sundbyberg) Kristina Månros (Lidingö)

Svära i kyrkan

Svära i kyrkan

För vem?

…vad är INTE informationssäkerhet? Reflektioner… …vad är INTE informationssäkerhet?

…borde vi prata mer ”vi” än ”vi och dom”? Reflektioner… …borde vi prata mer ”vi” än ”vi och dom”?

Reflektioner… Om de flesta driver utveckling mot fler dokument, krav, formalia… vem är motvikt?

…vem tar bollen att göra det svåra lättare? Reflektioner… …vem tar bollen att göra det svåra lättare?

”Lisa”

”Lisa” Vilken behörighet ska Nisse ha? Behöver jag läsa loggar? Jag vet inget om datahallar…. Vad behöver jag göra?

Mittköping

”Lisa” Systemförvaltare Verksamhetsspecialist Kan hur man jobbar med systemet Kravställare mot leverantör/drift Kravställare mot verksamhet MITT I SMETEN!

Informations säkerhets ansvariga Målgrupp System förvaltare IT verksamhet Systemägare Informations säkerhets ansvariga Myndigheter Ledning Användare Upphandlare Leverantörer

”Lisa”

Vad har Lisa för nytta av KLASSA?

Så här är det tänkt…

Handlingsplan systemförvaltning Struktur Konfiden-tialitet Spårbarhet Tillgänglig-het Riktighet 1 3 2 4 Systemförvaltning Kriterie nivå 1 Kriterie nivå 2 Kriterie nivå 3 (Kriterie nivå 4) Upphandling Krav nivå 1 Krav nivå 2 Krav nivå 3 (Krav nivå 4) Handlingsplan systemförvaltning Uppfyller helt Uppfyller delvis Uppfyller inte alls Ej relevant Skall/ Bör Infosäk-krav Upphandling

”Följ…eller förklara” För många och för få krav Vad… inte Hur

Same, same…but different Tyngdpunkt it-krav Men även… …organisatoriska …process …fysiska Begränsa funktionalitet Avgränsa omfattning Styr inte arbetssätt Hänsyn till förutsättningar

Mognadstrappa Wait and see KLASSA Good enough Best in Class

Vad KLASSA inte är IT säkerhets-modell LIS Risk och sårbarhets analys Utbildnings-material Upphandlings-verktyg System-dokumentation Enkät Strategi Kontinuitets-plan Katastrofplan

Vad KLASSA är Krav inför upphandling Krav på förvaltning Informationsklassning Lagrum ISO referenser

IT stöd för Informationssäkerhet

Två delar

Inspiration

Vi var med! Arbetsgrupp syd Styrgrupp Josefina Sanchez Eliasson (Lund) Bo-Göran Andersson (Malmö)   Konsultstöd Peter Modin- krav (KnowIT) Charlotta Rudoff- klassningmatris (KnowIT) Mattias Hallin – webverktyg (Nordic Peak) Svar i remiss- KIS Per Ahlström (Gullspång) Jan Svensson (Göteborg) Anders Danielsson (Karlskrona) Styrgrupp Jeanna Thorslund (SKL) Jörgen Sandström (SKL) Jens Lindh (KSL)   Projektledare Björn Söderlund (Lidingö) KSL arbetsgrupp Christer Borgh (Huddinge) Henrik Tedeby (Haninge) Björn Gustafsson (Stockholm) Martin Johnson (Sollentuna) Ulrika Nordquist (Sundbyberg) Kristina Månros (Lidingö)

Reality check systemförvaltare Process Kravkatalog Februari Utkast kravkatalog Struktur Arbetsgrupper Direktiv Mars Workshop 1 KSL Remiss 1 Workshop 2 KSL Prototyp verktyg 1 April Remiss 2 Prototyp verktyg 2 Test verktyg KIS nätverk Malmö Maj Slutjusteringar Befolka verktyg Prodsätt Verktyg Vägledande material Tester Juni Offentliga rummet Höst Produktionssättning Upphandlingskrav Reality check systemförvaltare

”detta kommer aldrig fungera…” Demo dags! ”detta kommer aldrig fungera…” http://demo.nordicpeak.com/klassa/login?redirect=%2Fmyimpactassesments%2Fimpactassesment%2F2#clear

Version 1.0 Tidig höst Kommer i version 1.0 Krav på förvaltning av system Dumpa ut exempel på konkreta upphandlingskrav baserat på klassning Enkla sammanställningar Hjälptexter Två-faktor Öppen och stängd del Version 1.0 Tidig höst

Exempel på idéer v2.0 Frågeguide leder till klassning Färre krav Fler mjuka krav Utveckla krav Utveckla behörighetsmodell? Aktiviteter

Tack för mig! Björn Söderlund It-strateg/ CIO Stadsledningskontoret, Lidingö stad 08-731 30 75 bjorn.soderlund@lidingo.se www.lidingo.se Twitter: @bjorn_lidingo

STOPP! Extrabilder

Hur gör man- deltagare Möte leds av informationssäkerhetsansvarig/samordnare För att säkerställa likvärdighet och process Deltagare Infosäksamordnare Systemförvaltare Driftansvarig/IT ”Optional” Systemägare, systemadministratör, informationsansvarig

Hur gör man- Process Klassa systemet inom respektive perspektiv med 1-3 (4) Spårbarhet Konfidentialiet (sekretess) Riktighet Tillgänglighet By flik till kriterier. Svara på varje krav huruvida det uppfylls Inför en upphandling- Dumpa ut upphandlingskrav. Gå igenom varje krav Dokumentera- t ex genom att klipp och klistra resultat till förvaltningsplan/alt upphandlingskrav