Download   Report
  1. No category

Säkerhetsanalys - Svenska kraftnät

Säkerhetsanalys
En reviderad vägledning från Svenska kraftnät
Thomas Kårgren
Säkerhetsskyddsförordningen
Säkerhetsanalys
5 § Myndigheter och andra som förordningen gäller för skall
undersöka vilka uppgifter i deras verksamhet som skall hållas hemliga
med hänsyn till rikets säkerhet och vilka anläggningar som kräver ett
säkerhetsskydd med hänsyn till rikets säkerhet eller skyddet mot
terrorism. Resultatet av denna undersökning (säkerhetsanalys) skall
dokumenteras.
Gängse praxis i branschen ! ?
SvKFS
2013:1
SÄPO:s riktlinjer/exempel för/på vad
som är skyddsvärt i sammanhanget
• Dokumentation
• IT-miljön
• Verksamhet
• Anläggningar
• Telekommunikation
• Elförsörjning
• Vattenförsörjning
Identifiering – skyddsvärda resurser
• Hur identifiera vad som är skyddsvärt
Uppgifter
Verksamhet
Anläggning
System
Beroenden ger upphov till skyddsvärde
ett exempel
• En anläggning bedöms omfattas av säkerhetsskyddsbehov inom
ramen för skydd mot terrorism – vad innebär det i övrigt som följd av
direkta och implicita beroenden?
 Uppgifter om anläggningens fysiska utförande och skyddsnivå
 Uppgifter om anläggningens tekniska system
 Vilka arbetar där och vilka uppgifter har de
 Vad finns det för skyddsvärda resurser i anläggningen
 Hur ser anläggningens detaljerade funktion ut
 Sårbarheter som är potentiella eller befintliga hos anläggningen
VAD är då en säkerhetsanalys?
”… Resultatet av analysen ska dokumenteras…”
 Uppgifter, anläggningar, verksamhet och system!
Tautologi då det i slutändan alltid rör sig om en uppgift om något!
 En förteckning – tabell – som innehåller uppgifter om anläggning,
verksamhet eller system. Bättre uttryckt objekt eller resurser!
Observera de lösa och vida definitionsbegreppen av uttrycken. Det är viktigt att
inse att ett system kan utgöras t.ex. av en kombination av anläggning/ar,
verksamhet, personal och IT-system som tillsammans utgör eller utför en funktion.
VAD? Kärnan i en säkerhetsanalys!
Två viktiga saker att tänka på:
1. Bedömningarna om vad som är skyddsvärt ska göras gentemot
antagonistiska hot, företrädesvis utan att ta hänsyn till sannolikhet
utan endast med fokus på konsekvenser.
Observera att det kan finnas implicita beroenden även till andra
typer av hot som kan möjliggöra antagonistiska hot
2. Enkel och lättläst uppräkning av de identifierade resurserna och
objekten – Tabell med tillämpliga kolumner!
VAD? Kärnan i en säkerhetsanalys!
Tabell
Skyddsvärd uppgift eller
anläggningsresurs
Beskrivning och motivering
Företagets
informationsklass
GIS-information med
attributdata i företagets
förvaltningssystem för
anläggningar. Benämns
kvalificerad GIS-information
GIS-information med attribut kan ge uppgift till aktör om hur
denna kan utnyttjas för att, i värsta fall orsaka avbrott i
företagets hela elförsörjningsverksamhet. Sådan påverkan
kan ske med såväl IT-baserade angrepp som med
fysisk/mekanisk påverkan eller kombinationer därav. Det går
inte att utesluta att ett sådant avbrott blir svårt att avhjälpa
(mer än 7 dygn till 75% kapacitet återställning). Ett sådant
avbrott kan i värsta fall påverka 110 000 abonnenter vars liv
kan vara i fara, inte minst om detta sker vintertid.
Informationen bedöms mot ovanstående vara av vikt att
skydda med avseende på terrorism.
Företaget ansätter
informationsklass K1
Ny lagstiftning – nya bud!
Att disponera innehållet i
säkerhetsanalysen – röda tråden
• Inledning, bakgrund och identifiering av objektet
• Formalia (bemanning, hålltider, avgränsningar etc.)
• Beskrivning av delobjekt (littererade) som identifierats och vilka hot
de utsätts eller kan utsättas för samt vilka konsekvenser detta ytterst
kan medföra
• Tabell med bedömningar kopplade till respektive littera
• Avsnitt om åtgärder, uppföljning och kontroll [OBS!!!]
Säkerhetsanalysen som dokument ! ?
Skyddsvärde för analysen –
konfidentialitet och klassiska fällor!
• Innehållet i analysen ÄR
skyddsvärt!
• För att verka med innehållet –
utfallet – krävs en delgivning till
parter som behöver informationen
för att utföra sitt värv på ett
korrekt sätt.
• Klassificering och kontrollerad
delgivning med sunda rutiner.
Utkomst av en säkerhetsanalys…
Det viktigaste med analysen
Säkerhetsskyddsåtgärder och andra säkerhetshöjande
åtgärder
Vad är skillnaden?
Säkerhetsskyddsåtgärder
Åtgärdsplaner, uppföljning, kontroll och revision
Åtgärdsplanering är ofta i sig lika, eller mer omfattande, än
säkerhetsanalysen vad avser dokumentvolym. Således är
det rimligt att åtgärdsplaneringen hanteras separat men att
det finns tydliga kopplingar med spårbarhet.
Svenska kraftnäts vägledning för
säkerhetsanalys – ny rev.
• Tydliga kriterier
Svenska kraftnät är sektorsmyndighet och tillsynsmyndighet och
kommer att vara tydliga med kriterier som är rimliga att följa.
• Riskanalysens betydelse för säkerhetsanalysen
”Utan riskanalys…ingen säkerhetsanalys”. Det går inte att veta vad
som är skyddsvärt om man inte har kontroll på vilka hot, risker och
sårbarheter som föreligger för den egna verksamheten.
• Exempel
Den nya vägledningen kommer att innehålla flera exempel av
varierande slag, storlek och tillämpning
En ny säkerhetsskyddslag
4 § Med säkerhetsskyddsklassificerad uppgift avses en uppgift som rör
säkerhetskänslig verksamhet och som av den anledningen omfattas av
sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som skulle
ha omfattats av sekretess, om uppgiften i stället förekommit i en verksamhet
där bestämmelser om sekretess i offentlighets- och sekretesslagen gäller.
3 § Säkerhetsskyddsklassificerade uppgifter ska utifrån den skada som ett
röjande av uppgiften kan medföra för Sveriges säkerhet delas in i en
informationssäkerhetsklass enligt följande
1. Kvalificerat hemlig vid en synnerligen allvarlig skada,
2. Hemlig vid en allvarlig skada,
3. Konfidentiell vid en inte obetydlig skada, eller
4. Begränsad vid en ringa skada.
SvKFS 2013:1
1 § Den säkerhetsanalys som ska genomföras enligt 5 §
säkerhetsskyddsförordningen ska göras minst en gång vartannat år. Resultatet av
analysen ska dokumenteras. Svenska Kraftnät ska på anmodan delges resultat av
sådan analys.
14 § Det ska finnas fastställda instruktioner för användning, förvaltning, drift och
avveckling av IT-system som är avsedda för behandling av uppgifter som rör rikets
säkerhet eller som särskilt behöver skyddas mot terrorism. Sådana instruktioner ska
dokumenteras och fastställas av verksamhetens chef (VD eller motsvarande) eller
den som denne bestämmer.
Allmänna råd
Skyddet mot terrorism innefattar även skydd av IT-system som är centrala eller
kritiska komponenter i energisystemet eller som används som centrala eller kritiska
delar i fysiska eller logiska säkerhetssystem.
Incitament
Svenska kraftnät
säkerhetsskydd
STÖD
TILLSYN
SLUT – FRÅGOR - SYNPUNKTER
Vad är en säkerhetsanalys?

Vad är en säkerhetsanalys?

Hur genomför man en säkerhetsanalys?

Hur genomför man en säkerhetsanalys?

Fullständigt program hittar ni här.

Fullständigt program hittar ni här.

Preliminärt program för Kraftsamling 2015

Preliminärt program för Kraftsamling 2015

Välkommen till Skarpängs bibliotek, där Svenska Kraftnät svarar på

Välkommen till Skarpängs bibliotek, där Svenska Kraftnät svarar på

Celebrate Recovery Öppna Möten

Celebrate Recovery Öppna Möten

Göran Grönhammars insändare

Göran Grönhammars insändare

Svinn – ett problem med möjligheter

Svinn – ett problem med möjligheter

Mikroproduktion för elinstallatörer

Mikroproduktion för elinstallatörer

2015 Protokoll 3 - Svenska kraftnät

2015 Protokoll 3 - Svenska kraftnät

Ladda ner produktblad

Ladda ner produktblad

140321 Naturskyddsföreningen Väst yttrande Kraftledning

140321 Naturskyddsföreningen Väst yttrande Kraftledning

Presentation Krishantering vid terrorism riktat mot spårbunden trafik

Presentation Krishantering vid terrorism riktat mot spårbunden trafik

40. Svenska Röda Korset

40. Svenska Röda Korset

SV - IPEX

SV - IPEX

fulltext

fulltext

abcdocz.com

© Copyright 2024