Presentation laddar. Vänta.

Presentation laddar. Vänta.

Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet.

Liknande presentationer


En presentation över ämnet: "Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet."— Presentationens avskrift:

1 Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet
Enheten för nationell informationssäkerhet

2 Wiggo Öberg 23 år med informations- och IT-säkerhet
Systemvetare/systemutv. AB Bofors ADB-säkerhetschef Boforskoncernen Konsult infosäk CAP Programator IT-säkerhet Statliga ekonomisystem, RRV IT-säkerhetschef RFV Expertroller informationssäkerhet på Statskontoret, Verva, MSB

3 Generaldirektör Kommunikationsdirektör Ekonomi- och planeringsdirektör HR-direktör Chefsjurist Internrevisionen Överdirektör Avdelningen för verksamhetsstöd Karlstad Service- och säkerhetsenheten Rättsenheten Ekonomienheten Personalenheten Kommunikationsenheten IT-enheten Karlstad och Stockholm Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text Avdelningen för risk- och sårbarhets-reducerande arbete Karlstad Enheten för analys och planeringsstöd Enheten för den enskildes säkerhet Karlstad och Stockholm Enheten för den brand- skydd och brandfarlig vara Enheten för farliga ämnen Enheten för skydd av samhällsviktig verksamhet Enheten för informationssäkerhet Stockholm Avdelningen för utbildning, övning och beredskap Karlstad Enheten för utveckling av räddningstjänst och krishantering Enheten för lednings-system och beslutsstöd Utbildningsenheten Övningsenheten Stockholm Enheten för affärsstyrning av Rakel Enheten för infrastruktur Rakel Enheten för kundstöd Rakel Stockholm och Sandö Revinge Sandö Avdelningen för samordning och insats Stockholm Enheten för samordning Enheten för omvärld och beredskap Karlstad och Stockholm Enheten för insatser Karlstad Enheten för insatspersonal Enheten för materiel och stödresurser Kristinehamn och Karlstad Avdelningen för utvärdering och lärande Stockholm Enheten för strategisk analys Enheten för inriktning och planering Enheten för inriktning av forskning Tillsynsenheten Karlstad Enheten för lärande av olyckor och kriser 16 2 Revinge Utbildnings- och utvecklingsenhet 1 Utbildnings- och utvecklingsenhet 2 Utbildnings- och utvecklingsenhet 3 Utbildningsstödenhet Internatenheten Teknik- och övningsenheten Sandö Utbildnings- och utvecklingsenhet Utbildningsenhet SMO Utbildningsenhet övrig utbildning Utbildningsstödsenhet Internatenheten Teknik- och övningsenheten

4 MSB - mandat informationssäkerhet
SFS 2008:1002 Utfärdad: Förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskap Verksamhetsområde1 § Myndigheten för samhällsskydd och beredskap har ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en olycka eller en kris.     Myndigheten ska 1. utveckla och stödja samhällets beredskap mot olyckor och kriser och vara pådrivande i arbetet med förebyggande och sårbarhetsreducerande åtgärder, 2. arbeta med samordning mellan berörda aktörer i samhället för att förebygga och hantera olyckor och kriser, 3. bidra till att minska konsekvenser av olyckor och kriser, 4. följa upp och utvärdera samhällets krisberedskapsarbete, och 5. se till att utbildning och övningar kommer till stånd inom myndighetens ansvarsområde. 6 § Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. Myndigheten ska rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan föranleda behov av åtgärder inom olika nivåer och områden i samhället.

5 MSB - Uppdrag inom området informations-säkerhet och medieberedskap
Stödja och samordna arbetet med samhällets informationssäkerhet. Uppgiften riktar sig såväl till enskilda individer som till näringsliv, kommuner och andra myndigheter och organisationer. Analysera och bedöma omvärldsutvecklingen inom området Rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan föranleda behov av åtgärder inom olika nivåer och områden i samhället Redovisa vilka åtgärder som myndigheten och andra berörda myndigheter har genomfört utifrån den nationella handlingsplanen för informationssäkerhet Samordna arbetet med att säkra kryptografiska funktioner Stödja medieföretagens beredskapsplanering. Högst kronor får användas för drift och vidmakthållande av vissa reservfunktioner inom etermedia

6 Nationellt informationssäkerhetsarbete
Finans- departementet Närings-departementet Försvars-departementet Justitie-departementet E-Delegationen PTS (Post- och Telestyrelsen) Internetsäkerhet Sitic (CERT) MSB Stödja och samordna arbetet med samhällets informationssäkerhet Rikskriminalpolisen IT-relaterad brottslighet Säpo Rikets säkerhet /Säkerhetsskyddslagen Säkerhetsanalyser FMV (Försvarets Materielverk) Certification Body Common Criteria (CC) FRA (Försvarets Radioanstalt) Penetrationstester Signalskydd Datainspektionen Personlig integritet Försvarsmakten

7 SAMVERKAN Samverkansgrupper Informationssäkerhetsrådet
Samverkan en absolut förutsättning för att lyckas… Samverkansgrupper Informationssäkerhetsrådet Ca 15 externa ledamöter SAMFI - samverkansgrupp för informationssäkerhet PTS/Sitic, RPS/SÄPO, FM, FRA, FMV/Csec, MSB Fidi SCADA Grupp för informationsdelning med inriktning på digitala kontrollsystem Fidi FINANS Grupp för informationsdelning med inriktning på finanssektorn Nätverk m m SNITS (myndigheter), NIS (landsting), SWITS (forskning) mfl.

8 Handlingsplan för samhällets informationssäkerhet
Lämnades till regeringen Består av 47 åtgärdsförslag för att förbättra samhällets informationssäkerhet med konkretiseringar kring Kostnad Tid Ansvar Berör hela samhället – från normaltillstånd till kris Viktiga utgångspunkter KBM:s lägesbedömning 2008 (Hot, sårbarheter och risker) Infosäkutredningens rapporter Bred samverkan med aktörer från hela samhället

9 Åtgärdsområden i handlingsplanen
Författningsöversyn och föreskriftsrätt Informationssäkerhet i verksamheter Kompetensförsörjning Informationsdelning, samverkan och respons Kommunikationssäkerhet Säkerhet i produkter och system Förvaltning av handlingsplanen Följer de åtgärder som anges i regeringens strategi för informationssäkerhet

10 Några pågående projekt med Nationella handlingsplanen för informationssäkerhet som grund
Föreskriftsarbete Styrning av statliga myndigheters informationssäkerhetsarbete (VERVAFS till MSBFS ) Krav på FM-godkända krypto för civilt bruk (KBMFS till MSBFS) Obligatorisk incidentrapportering för statliga myndigheter Krav på användning av evaluerade produkter ”SVISA” – Projekt för att utforma regelverk, riktlinjer och stöd för organisationers informationssäkerhetsarbete. SCADA – Projekt för utveckling av området ”industriella kontrollsystem”

11 Projektet SVISA – Stöd för Verksamheters Informationssäkerhetsarbete
Område 1 – Ramverk, modeller och metoder Område 2 – Vägledningar och informationsmateriel Område 3 – Produktkrav och upphandling En viktig grund är etablerade standarder. 27000-serien ger god helhetssyn på informationssäkerhet Associerade standarder kan ge bra stöd inom vitala områden Översyn av BITS/BITS-plus Viktigt med stödresurser i form av konsulter och produkter. Utveckling behövs!!

12 SVISA struktur Grupp för projektstyrning Referensgrupp: SAMFI
Delprojekt 1: Modeller, metoder och ramverk, ex: Nationellt ramverk för informationssäkerhet Värderingssystem för informationssäkerhet Delprojekt 2: Vägledningar och informationsmaterial, ex: Informationsmaterial till myndighetsledningar Informationspaket gällande säkra kryptografiska produkter Delprojekt 3: Produktkrav och upphandling, ex: Rekommendationer för kravställning vid upphandling Bibliotek med CC-evaluerade skyddsprofiler

13 Modell för klassificering av information (Rekommendation)
Informationssäkerhetsaspekter Konfidentialitet, riktighet och tillgänglighet Definitioner både från SIS Handbok 550 och LIS Modellen kan kompletteras med flera aspekter som t ex spårbarhet hos enskilda organisationer Konsekvensnivåer Vad händer vid förlust av konfidentialitet, riktighet eller tillgänglighet hos viss information? Ej likställt med skyddsnivå Fyra nivåer av konsekvensnivåer: Allvarlig Betydande Måttlig Ingen/försumbar Myndigheten för samhällsskydd och beredskap (MSB) publicerar tillsammans med Swedish Standards Institute (SIS) rekommendationer för klassificering av information. Dessa vänder sig både till myndigheter och andra organisationer och syftar till att stödja dem i deras arbete med att klassificera information på ett enhetligt sätt. - Att klassificera information utifrån krav på konfidentialitet, riktighet och tillgänglighet är en grundläggande aktivitet i arbetet med informationssäkerhet. Behovet av en för samhället gemensam modell för klassificering ökar i takt med det tilltagande informationsutbytet mellan organisationer, säger Per Oscarson på MSB:s enhet för informationssäkerhet. Att ta fram modell för informationsklassificering är en av åtgärderna i den nationella handlingsplanen för informationssäkerhet som förvaltas av MSB. Modellen har tagits fram av en projektgrupp bestående av representanter från MSB, FMV, SIS, FRA, Läkemedelsverket samt anlitade konsulter. I enlighet med handlingsplanen planeras längre fram en mer utförlig vägledning och metod för att stödja organisationers hantering av informationstillgångar, inklusive inventering, värdering och klassificering.

14 Säkerhetsaspekt/ Konsekvensnivå Konfidentialitet Riktighet
Tillgänglighet Allvarlig Information där förlust av konfidentialitet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av riktighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär allvarlig/katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Betydande Information där förlust av konfidentialitet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av riktighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär betydande negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Måttlig Information där förlust av konfidentialitet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av riktighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där förlust av tillgänglighet innebär måttlig negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Ingen eller försumbar Information där det inte föreligger krav på konfidentialitet, eller där förlust av konfidentialitet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där det inte föreligger krav på riktighet, eller där förlust av riktighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild individ. Information där det inte föreligger krav på tillgänglighet, eller där förlust av tillgänglighet inte medför någon eller endast försumbar negativ påverkan på egen eller annan organisation och dess tillgångar, eller på enskild.

15 Säkerhet i industriella kontrollsystem (SCADA) - Pågående aktiviteter 2009 -
Medvetandehöjning Vägledningsdokument (”SCADA-guide”) Teknisk utbildning för infrastrukturoperatörer Föreläsningar och presentationer Samverkan och informationsdelning FIDI-SC (nationell POS) Ag.FIDI-SAMFI-SC (arbetsgrupp SAMFI) E-SCSIE (Europeisk POS, MSB ordförande) MPCSIE (Internationell, Gov. only) Praktiska åtgärder för att öka säkerheten (skapa en teknisk plattform) FIDI-SC: Privat-offentlig samverkan och informationsdelning Banverket, E.ON, Fortum, MSB, Norrvatten, Preem Petroleum, Storstockholms Lokaltrafik, Stockholm vatten, Svenska Kraftnät, Säpo, Vattenfall FIDI-SAMFI-SC: Programutveckling (koordinerad statlig satsning) och praktiska studier E-SCSIE och MPCSIE: Internationella nätverk och bilateral samverkan (EU, Norge, USA m.fl.)

16 Säkerhet i industriella kontrollsystem (SCADA) - Teknisk plattform 2009 -
Tekniska SAMFI-aktiviteter (urval): Praktisk säkerhetsgranskning av kontrollsystem i kritisk infrastruktur (PASS-projektet). Samverkan KBM, FOI, FRA, Säpo och näringsliv. Övning och utbildning vid Idaho National Lab, november 2008 (21 personer, teknisk personal från FM, FOI, FRA, KBM, Säpo), upprepning 2010

17 Vägledning till ökad säkerhet i digitala kontrollsystem i samhällsviktig verksamhet
Syfte med vägledningsdokumentet Öka medvetenheten inom industrin (ledningsnivå) samt ute i kommunerna (beredskapssamordnare eller liknande). Ge grundläggande rekommendationer kring säkerhet i digitala kontrollsystem och tipsa om var det går att finna ytterligare information (ingenjörer och personer ute i fält samt personer som upphandlar digitala kontrollsystem eller serviceavtal – hjälp vid kravställning) I förlängningen kan dokumentet även användas för att öka medvetenheten kring dessa frågor hos allmänhet och inom myndighetssfären. Detta är dock inte dokumentets huvudsakliga syfte!

18 Vad är Common Criteria? Common Criteria är en standard för hur man ställer krav, deklarerar och evaluerar säkerhet i IT-produkter och ‑system i deras användningsmiljöer CC är ett ramverk för hur man beskriver de funktionella kraven på IT-säkerhet i en produkt eller ett system, inte en samling krav i sig CC fokuserar på behov av informationssäkerhet utgående från krav på konfidentialitet, tillförlitlighet och tillgänglighet som uppstår på grund av avsiktliga eller oavsiktliga hot CCRA - en internationell samarbetsorganisation för ömsesidigt erkännande av certifikat för IT-produkter och IT-system enligt standarden Common Criteria. MSB är svensk signatär i CCRA FMV är den svenska certifieringsorganisationen FMV/CECE Utgångspunkten för vårt arbete är den nationella handlingsplanen som presenterades i april 2008 av KBM efter samråd med de myndigheter som har uppgifter inom informationssäkerhetsområdet. Planen tar upp 47 åtgärdspunkter indelade enligt bilden. Föreskrifter om säkra IT-produkter (1) - MSB:s avser att med stöd av Krisberedskapsförordningen föreskriva att statliga myndigheter som hanterar skyddsvärd information i informationssystem skall kunna säkerställa att IT-produkter i dessa system har nödvändiga säkerhetsegenskaper - Föreskrifterna skall avse de IT-produkter där skyddsvärd information införs, bearbetas, lagras, presenteras eller vidarebefordras och där förlust av konfidentialitet, riktighet eller tillgänglighet hos informationen skulle kunna medföra:a/ betydande, allvarlig eller katastrofal negativ påverkan på egen eller annan organisation och dess tillgångar, på enskild individ eller b/ på annat sätt hindra att en myndighets verksamhet kan utföras på ett tillfredsställande sätt Föreskrifter om säkra IT-produkter (2) - Föreskrifterna skall tillämpas för aktuella IT-produkter och där MSB utarbetat eller fastställt en CC-skyddsprofil för den aktuella produkttypen samt där verksamhetsmiljön och hotbilden överensstämmer med vad som angivits i skyddsprofilen Säkerställandet skall ske genom evaluering och certifiering enligt CC och mot aktuella CC-skyddsprofiler; Om kryptografiska funktioner återfinns i de aktuella IT-produkterna så skall dessa vara kryptoverifierade och kryptogodkända enligt ett regelverk godkänt av FM/TSA Arbetsgång MSB:s föreskrifter bildar ramverk för upphandling av säkra IT-produkter för användning inom myndigheter - CC-skyddsprofiler utarbetas i samarbete med berörda myndigheter - CC-skyddsprofilerna evalueras och certifieras av FMV/CSEC - MSB fastställer CC-skyddsprofiler som sen utgör grund för upphandling - Om kryptografiska funktioner återfinns i de aktuella IT-produkterna så skall dessa vara kryptoverifierade och kryptogodkända enligt ett regelverk godkänt av FM/TSA Mer info:

19 Idéskiss - Övergripande process för samhällets informationssäkerhet
2010 2011 2012 2013 2014 2015 2016 Strategi för samhällets informationssäkerhet Revideras under första kvartalet Revideras - Januari Revidering av handlings- plan juni Januari Lägesbedömning (LB) – Samhällets informations- säkerhet Oktober Anm: Sker i samverkan med informationssäkerhetsrådet, SAMFI och andra aktörer

20 Frågor? Wiggo Öberg


Ladda ner ppt "Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet Enheten för nationell informationssäkerhet."

Liknande presentationer


Google-annonser