Hur genomför man en säkerhetsanalys?

1
HUR GENOMFÖR MAN EN
SÄKERHETSANALYS
Thomas Kårgren
2
Säkerhetsanalys - genomförande
> Vi har gått igenom vad en säkerhetsanalys är
> Författningsstyrd
> En ”inventering och förteckning” över sådant som rör rikets säkerhet eller skyddet
mot terrorism
> Analysprodukten i sig är ett dokument som bygger på bedömningar av olika objekt
kopplade mot hot, risker, sårbarheter och möjliga konsekvenser
> En av de viktigaste sakerna med säkerhetsanalysen är utformningen av åtgärder,
säkerhetshöjande åtgärder och säkerhetsskyddsåtgärder
Hur ska man?????
> Var börjar man?
> Vilka saker ska göras?
> I vilken ordning ska de göras?
> Vilka behöver delta?
> Hur dokumenterar vi?
> Vad gör vi sedan?
Var börjar man?
Det första som måste göras är att definiera VAD det är som
säkerhetsanalysen ska göras för.
En mindre verksamhet kan kanske göra säkerhetsanalys för hela
verksamheten i ett slag men för större organisationer och
verksamheter är detta inte görbart och bör därför delas upp i
mindre delar. Därmed inte sagt att en mindre organisation inte ska
dela upp arbetet med säkerhetsanalys på flera olika objekt,
anpassning till hur verkligheten ser ut måste alltid ske!
Nyckelord: [Geografisk spridning] [Kraftigt varierade verksamhetsområden]
[Stora skillnader i tekniska eller fysiska utföranden] [Ansvarsförhållanden]
Var börjar man?
När man definierat VAD det är som säkerhetsanalysen ska göras
för så måste några förutsättningar kontrolleras.
> Har det genomförts hot-, risk- och sårbarhetsanalys som täcker
det VAD som man definierat för säkerhetsanalysen?
> Vad är status på analysen? (aktualitet, omfattning etc.)
> Tillgänglighet och användbarhet!
Är analysen tillgänglig för de som ska genomföra säkerhetsanalysen och är den dokumenterad på ett sätt som gör att den
kan användas inom ramen för säkerhetsanalysen?
Vilka behöver delta?
Personer som bör engageras inom ramen för arbetet med
säkerhetsanalysen.
Nyckelord:
[VERKSAMHETSKUNSKAP] [SÄKERHETSKOMPETENS]
Klassiska fällor!
Inskränkning i deltagande med hänvisning till konfidentialitet!
Hemmablindhet! (rädsla eller oförmåga att vidga vyerna)
Vilka saker ska göras?
> Identifiera grupper av objekt (oavsett art och karaktär) som
interagerar och beror av varandra på ett sådant sätt att de kan
räknas som en samverkande enhet. Sådan grupper kan
littereras för att kunna användas som ingående objekt i
analysen.
3
1
2
A20-15/274242-1#GB37
4
Vilka saker ska göras?
> Bedömning av hur objektgruppens
betydelse står sig kopplat mot rikets
säkerhet eller skyddet mot terrorism
> Hot, risker och sårbarheter som finns
dokumenterade
> Brainstorming med stöd av tillgänglig
information
> Dokumentera utfall/beslut om huruvida
objektgruppen berörs eller ej samt
varför
Vilka saker ska göras?
Hur gör jag avdömningen – kriterier!?
> Påverkas ett större antal människors liv och hälsa?
> Påverkas ett större geografiskt område? Är denna påverkan
långvarig och/eller inträffar den vid en olämplig tidpunkt?
> Får händelsen allvarliga sociala, ekonomiska och/eller politiska
konsekvenser för samhället?.
> Påverkas andra samhällsviktiga verksamheter allvarligt?
> Finns det risk att allvarliga negativa konsekvenser uppstår i
framtiden?
Vilka saker ska göras?
Hur gör jag avdömningen – kriterier!?
Elakhatten på!
1
Påverkar ett
upptagningsområde
med mer än 50 000
personer
3
B4 eller B3
anläggning
Uppgifter
2
Medför ett totalt avbrott
som överstiger 2 dygn
Verksamhet
KONSEKVENSER !
Anläggning
System
Vilka saker ska göras?
Det paradoxala i bedömningarna!
> Många objekt kommer att omfattas av säkerhetsskydd enligt
kriterier och bedömningar
> Åtgärder kan göra så att objekt faller utanför säkerhetsskyddet
som följd av de effekter åtgärder medför, i.e. säkerhetsnivån är
så pass hög så att avsedd händelse inte längre kan inträffa eller
påverka objektet på tidigare identifierat sätt
> Vikten av noga och väl utformade och genomförda
åtgärdsplaner kan inte nog understrykas!
Vilka saker ska göras?
Det paradoxala i bedömningarna - exempel
Tillförd redundans medför
att funktionen som sådan
inte längre omfattas
Reservkraft
Driftcentral
Reservkraft
I vilken ordning ska saker göras
Formell betydelse och mening
> VAD!? [OBJEKTET]
Hitta lämpliga organisationsdelar i lämplig storlek och eller
utformning
> HOTBILD!
Riskanalys, vilka hot, risker och sårbarheter finns eller kan
finnas som kan påverka OBJEKTET
> BEDÖMNING!
Använd tillgängliga kriterier för att bedöma tillämpligheten
> DOKUMENTERA!
Säkerhetsanalys är i sin enklaste form en tabell
Hur dokumenterar vi
Nyckelord som beskriver framgångsfaktorer inom säkerhetsanalys
> Enkelhet (skippa de milslånga inledningarna)
> Tydlighet (bilder är utmärkta hjälpmedel när man definierar objekt)
> Definiera/Definitioner (se till att alla uttryck är kända och begripliga)
> Förankrad (om man refererar till företagets klassificering, säkerställ att den är gällande)
Hur dokumenterar vi
Kom ihåg tabellen! Kärnan i analysen
ID
SA15-1-01
OBJEKT
VKV-BECKFORS
BEDÖMNING
Verket kan om det utsätts för mekaniskt/elektriskt eller
cyber –angrepp möjligen orsaka kaskaderande
effekter i nätet som i värsta fall kan påverka hela
regionen. Verket och tillämplig berörd information
bedöms behöva skyddas mot terrorism.
FTG KLASS
K2
Information
FS2
Fysiskt skydd
SA15-1-02
SC/DC-SLÖBERG
Det går inte att utesluta att centralen skulle kunna
utnyttjas för ett elektroniskt cyberangrepp på
ovanliggande styr-infrastruktur som tillhör VAFAON
och på det viset påverka elförsörjningen i riket.
Centralen bedöms röra rikets säkerhet.
K1
Information
FS1
Fysiskt skydd
Vad gör vi sedan
Några viktiga saker att komma ihåg!
Säkerhetsanalys
Innehållet i analysen är oftast skyddsvärt!
Det är dock av yttersta vikt att de som behöver ha
tillgång till informationen i analysen för att kunna
utföra ålagda uppgifter får det. Skyddet ska hålla
OBEHÖRIGA borta från innehållet!
Analysen ska utgöra grunden för utformning av
åtgärder!
En åtgärdsplan ska, om det inte är uppenbarligen
obehövligt, upprättas.
H
Vad gör vi sedan
Åtgärdsplanering och utförande
Huvudsaken är att åtgärdsplanen är utförd så att det finns tydliga
aktiviteter, ansvar och tidplaner för åtgärder. Tabellformat fungerar
utmärkt. Exempel på några kolumnrubriker:
> ID
En litterering som gör att aktiviteterna lätt kan identifieras
> AKTIVITET
Ska ge svar på frågan; Vad ska göras?
> ANSVARIG
Vem äger aktiviteten och ser till att den utförs?
> TIDPLAN
När ska aktiviteten, eller delaktiviteterna, vara klar(a)
Vad gör vi sedan
Uppföljning och revision
Säkerhetsanalysen är ingen produkt som blir
”färdig och arkiveras”!
> Uppföljning kan behöva ske som följd av
förändrad hotbild eller förändringar i
verksamheten.
> SvkFS 2013:1
1 § Den säkerhetsanalys som ska genomföras
enligt 5 § säkerhetsskyddsförordningen ska göras
minst en gång vartannat år. Resultatet av
analysen ska dokumenteras. Svenska Kraftnät
ska på anmodan delges resultat av sådan analys.