Presentation laddar. Vänta.

Presentation laddar. Vänta.

Vägledning kartläggning av informationssäkerhet - GAP-analys

Liknande presentationer


En presentation över ämnet: "Vägledning kartläggning av informationssäkerhet - GAP-analys"— Presentationens avskrift:

1 Vägledning kartläggning av informationssäkerhet - GAP-analys
Sammanställning från KLISTER-projektet Rose-Mharie Åhlfeldt Institutionen för Informationsteknologi

2 Introduktion

3 Varför Ledningssystem
Behov av strukturerad hantering av processer, dokument och ärenden med bäring på information. Behöver fördela roller och ansvar så att styrning av informationssäkerhet kan uppnås. Tekniken kan inte skapa säkerhet Människor enbart kan inte heller skapa säkerhet Människor och teknik behövs i samklang

4 Varför ledningssystem forts
Informationssäkerhet i sig är inte verksamhetens huvudprocess utan en stödprocess Om informationssäkerheten i en organisation fungerar – så märks den inte. Om den inte fungerar – märks direkt! Processen för informationssäkerhet måste integreras i andra processer Därför – många aktörer får säkerhetsroller

5 Roller och ansvar För att få en effektiv styrning av informationssäkerheten krävs fördelning av ansvar. Befintliga roller kan få nya ansvarsområden Nya roller kan behöva skapas Viktigt med samverkan mellan ansvarsrollerna

6 Olika roller för styrning av informationssäkerhet
Exempel Ledning Ansvarar för visioner, strategiska beslut och koordinerar aktiviteter för att vägleda och styra organisationen. Informationssäkerhetschef/ansvarig Befattningshavare som har ansvar för att driva informationssäkerhetsfrågor i organisationen, framförallt rörande administrativ/organisatorisk säkerhet Informationsägare Äger ansvaret för sin verksamhet inklusive informationen och informationshanteringen. Informationsägarens viktigaste roll (funktion och säkerhet) är att kravställa.

7 Olika roller för styrning av informationssäkerhet
Exempel Informationsägare/processägare Ansvarar för att delegera uppgifter och hantera information i sin del av processen samt att föra ansvaret vidare till nästa delprocess. Säkerhetsforum (arbetsgrupp/kommitté) Ansvarar för hur informationstillgångar ska hanteras och har en ledande roll för ledningssystemet i organisationen. Systemägare Ansvarar för att leverera lösningar som uppfyller informationsägarens krav. Systemadministratör Ansvarar för att praktiskt hantera den dagliga förvaltningen av IT-system i verksamheten

8 Olika roller för styrning av informationssäkerhet
Exempel IT-chef Ägare av IT infrastruktur IT-säkerhetsansvarig Ansvar för bevakning av IT-säkerhetsfrågor, d v s tekniska säkerhetsåtgärder i verksamhetens IT-system. Riskägare Ansvar för organisationens riskvalidering Organisationens jurist Ansvar för att ta hänsyn till legala aspekter Personalansvarig Ansvarar för personalfrågor

9 Olika roller för styrning av informationssäkerhet forts
Exempel Arkivansvarig Ansvarar för fysiska skyddsåtgärder i arkivet samt att informationen lagras över lång tid. Personuppgiftsombud Utsedd roll för att tillgodose personers integritet samt ha kontakt med Datainspektionen avseende registerhantering. Fastighetsansvarig Ansvarar för organisationens fastighetsfrågor. Kunskap om fastighetens fysiska säkerhet Medarbetare/användare Ansvarar för att upprätthålla informationssäkerheten I arbetsområdet och i verksamhetsmiljön. Informationssäkerhetsrevisor Ansvarar för bedömning och evaluering av LIS. Informationssäkerhetsutbildare Ansvarar för informationssäkerhetsutbildningar – fokus på ökad säkerhetsmedvetenhet i verksamheten

10 Ledningssystem och metodstöd
Best practice, standarder, ramverk, metodstöd etc. är verktyg för att stödja styrning av informationssäkerhet. Dessa är ingen frälsning i sig. Ger endast förslag till struktur, metod, mallar, checklistor etc. Måste verksamhetsanpassas/situationsanpassas Få standarder och ramverk är vetenskapligt validerade och utvärderade. De undersökningar som är gjorde visar ändå på att de är en viktig grund för styrning av infosäk men behöver anpassas för specifik verksamhet (Sipponen, 2008)

11 LIS - PDCA-snurran - en ständig förbättringsprocess
Syfte att förbättra både arbetssätt och säkerhetslösningar. Användbart om man börjar från noll eller vill förbättra en redan pågående aktivitet. Källa:

12 PDCA Plan (planera) Identifiera problemet Analysera
Föreslå en eller flera lösningar Do (genomföra) Genomför lösningen Check (kontrollera/följa upp) Samla in data Utvärdera data Om lösningen är bra, vidare till ACT annars tillbaka till PLAN. Act (handla/förbättra) Implementera och systematisera lösningen Åter till PLAN för en ständig förbättringsprocess.

13 Ett ledningssystem - en ständig förbättringsprocess
Strategisk Taktisk Operativ

14 Ständig förbättring En ständig pågående process
Nya analyser Nya åtgärder Nya uppföljningar Se till att LIS alltid är anpassat till rådande risksituation och verksamhet Syftet är att göra förbättringar där det behövs och när det behövs. Stärka säkerhetsskyddet om förändrad risksituation. Anpassa metoder – användbarhet Förstärka integrering med andra styrmedel och verksamhetsprocesser.

15 Situationsanpassning
Vilka förutsättningar råder? Anpassa användning och metodstöd så de stämmer med den egna organisationen

16 GAP-analys

17 GAP-ANALYS Analyserar gapet mellan det nuvarande läget mot kraven i standarden (ISO/IEC och 27002) Ger en helhetsbild över informationssäkerhetsnivån i kommunens verksamhet baserat på en vedertagen/jämförbar ”best practice” Är en viktig (omfattande) del i den grundläggande analysen för ett införande av ett ledningssystem för informationssäkerhet (LIS).

18 GAP-analys (MSBs metodstöd)

19 GAP-analysen – en del i den grundläggande analysen?

20 Syftet med GAP-analysen
Kontrollera hur verksamhetens informationssäkerhet står sig i förhållande till uppsatta mål. Bekräftelse på att befintligt skydd är infört i tillräcklig omfattning En uppfattning om kvalitén på säkerhetsarbetet. Information om styrkor och svagheter i skyddet Ett underlag att gå vidare med i införandet av ledningssystemet.

21 IngånGsvärden Behov och kunskap Säkerhetsdokumentation
Dokumentation från verksamhetsanalys och riskanalys om sådan finns Säkerhetsdokumentation Existerande policy och riktlinjer med bäring på informationssäkerhet Standard och norm GAP-analysen utgörs av en lista med krav eller säkerhetsåtgärder som utgår från kraven i standarden och Ev tidigare genomförda revisionsrapporter

22 Aktiviteter I GAP-analysen

23 Aktiviteter I Gap-analysen
Sammanställning av material och kunskap med utgångspunkt från kraven i ISO/IEC Vilka säkerhetsåtgärder finns redan nu och hur fungerar de? Vilka säkerhetsåtgärder fungerar tillfredsställande tack vare kompenserande åtgärder Vilka säkerhetsåtgärder finns inte eller fungerar inte tillfredsställande Vilka säkerhetsåtgärder behövs inte (motivera) För varje krav i standarden beskriva nuläget samt eventuella förbättringsåtgärder.

24 Resultat Översiktlig beskrivning om nuvarande brister och vad som behöver förbättras. Om ytterligare dokumentation från informationsklassificeringar och riskanalyser finns behöver dessa också kopplas till nuvarande lägesbild avseende behov av förbättringsåtgärder. Sammanfattande slutsatser ger en bild av verksamhetens nuvarande informationssäkerhetsnivå. Beslutsunderlag för fortsatt systematiskt informationssäkerhetsarbete.

25 OBSERVERA Resultatet av GAP-analysen kan vara känslig information och bör hanteras därefter

26 Vad bör man tänka på? Säkerhetsskydden är administrativa, organisatoriska, fysiska eller logiska. Alla säkerhetsåtgärder har som mål att skydda informationen utifrån aspekterna/egenskaperna för informationssäkerhet: konfidentialitet, riktighet och tillgänglighet.

27 Informationssäkerhetsmodellen

28 Vad bör man tänka på? När skyddsåtgärder kartläggs är det viktigt att tänka i flera dimensioner. Är skyddsåtgärden dokumenterad? Är skyddsåtgärden verkligen på plats och används den? Fungerar skyddsåtgärden som det är tänkt? Underhålls skyddsåtgärden?

29 För Vem är GAP-analysen användbar?
I projekt för att införa LIS Ansvariga för att mäta eller verifiera nivån på säkerhetsskyddet. Verksamhetschefer/förvaltningschefer (informationsägare/systemägare) som vill ställa krav på sin skyddsnivå. Säkerhet- och informationssäkerhetsansvariga som ska mäta effektiviteten i skyddet.

30 Kritiska säkerhetsåtgärder - Kommunanpassning
Ett förslag till kommunanpassade kritiska säkerhetsåtgärder har tagits fram från KLISTER-projektet. Utgångspunkten är checklistan på som summerar krav och vägledningar från informationssäkerhetsstandarden SS-ISO/IEC 27002:2014. Den nuvarande kommunanpassade checklistan är uppdaterad från SS-ISO/IEC 27002:2014, där kritiska säkerhetsåtgärder finns angivna i bilaga A. Av totalt 114 säkerhetsåtgärder är 70 angivna som kritiska. Dessa bör varje kommun införa som basnivå för att skydda organisationens information. En övergripande förteckning över säkerhetsåtgärderna finns i bilaga B.

31 SS-ISO/IEC 27002:2014 Riktlinjer för styrning av informaitonssäkerhet
Checklistan (bilaga A) utgår från mål och säkerhetsåtgärder i 27002 Innehåller 14 rubriknivåer och utgår från standardens innehållsförteckning med start från rubrik 5.

32 Innehållsförteckning (2014)
Förord 0 Orientering 1 Omfattning 2 Normativa hänvisningar 3 Termer och definitioner 4 Denna standards struktur 5 Informationssäkerhetspolicy 6 Organisation av informationssäkerhetsarbetet 7 Personalsäkerhet 8 Hantering av tillgångar 9 Styrning av åtkomst 10 Kryptering 11 Fysisk och miljörelaterad säkerhet 12 Driftsäkerhet 13 Kommunikationssäkerhet 14 Anskaffning utveckling av system 15 Leverantörsrelationer 16 Hantering av informationssäkerhetsincidenter 17 Informationssäkerhetsaspekter avseende hantering av verksamhetens kontinuitet 18 Efterlevnad Litteraturförteckning

33 Arbetsbeskrivning

34 Det huvudsakliga arbetet består av tre delar
Arbetsbeskrivning Det huvudsakliga arbetet består av tre delar Inför GAP-analysen - planering Under GAP-analysen - genomförande Efter GAP-analysen – sammanställning och rapportering En generell detaljerad arbetsbeskrivning finns i metodstödets dokumentation för GAP-analys (

35 Arbetsbeskrivning forts
Inför GAP-analysen - planering Avsätt tid – 2-3 dgr Skicka ut frågeunderlag (bilaga D) och förslag på agenda till områdesansvariga (bilaga E). Läs igenom inkommet material och stäm av agendan med berörda.

36 Arbetsbeskrivning forts
Under GAP-analysen - genomförande Rundvandring Presentation av IT-miljön (serverrum, korskopplingsskåp, kablage, förvaring av säkerhetskopior etc. Intervjuer enligt agendan med hjälp av checklistan (bilaga A). Sammanställ säkerhetsnivåerna och sammanfatta bristerna kortfattat för berörda deltagare (bilaga C).

37 Nivåskala för bedömningar
0 – Ingen efterlevnad 0,5 1 – Bristfällig efterlevnad 1,5 2 - Acceptabel efterlevnad 2,5 3 - Stor efterlevnad

38 Arbetsbeskrivning forts
Efter GAP-analysen – Sammanställning och rapportering Ytterligare analys av sammanställning säkerhetsnivåer och sammanfattande brister (bilaga C) Om behov finns stäm av och komplettera med berörda deltagare. Sammanställ en nivå- och bristrapport samt förslag till åtgärdsplan (bilaga F)


Ladda ner ppt "Vägledning kartläggning av informationssäkerhet - GAP-analys"

Liknande presentationer


Google-annonser