B2_RSA och informationssäkerhet_MSB

Konferens om risk- och sårbarhetsanalyser
Stockholm 4-5 maj 2015, World Trade Center
RSA och informationssäkerhet
Värdera och skydda verksamhetskritisk information i
samhällsviktiga verksamheter – vikten av en god
säkerhetskultur
Tom Andersson, Enheten för systematiskt informationssäkerhetsarbete (SISA), MSB
Förordning (2008:1002) med
instruktion för MSB
Informationssäkerhet
11 a § Myndigheten ska stödja och samordna arbetet med
samhällets informationssäkerhet samt analysera och
bedöma omvärldsutvecklingen inom området. I detta ingår
att lämna råd och stöd i fråga om förebyggande arbete till
andra […] Myndigheten ska vidare svara för att Sverige har
en nationell funktion med uppgift att stödja samhället i
arbetet med att förebygga och hantera IT-incidenter.
Myndigheten för samhällsskydd och beredskap
Verksamheten för samhällets
informations- och cybersäkerhet (ICS)
Verksamheten för samhällets
informations- och
cybersäkerhet
Richard Oehme
Strategiskt stöd
Christina Goede
Enheten för systematiskt
informationssäkerhetsarbete
Enheten för cybersäkerhet
och skydd av kritisk
informationsinfrastruktur
Enheten för operativ
cybersäkerhet och itincidenthantering
Fia Ewald
Åke Holmgren
Ann-Marie Alverås Lovén
Tom Andersson
3
Myndigheten för samhällsskydd och beredskap
Syftet med föredraget

Att stödja diskussion och korsbefruktning av RSA- och
informationssäkerhetsarbetet

Att ge en lägesbild över regelverk och myndighetsarbete, styrning och
uppföljning, kring informationssäkerhetsfrågor och RSA

Att problematisera informationssäkerhetsrisker som verksamhetsrisker och
samhällsrisker, samt dataintrång- och it-haverier som potentiella orsaker,
men i än högre grad den mänskliga faktorn

Att motivera till regelbunden uppföljning och rapportering som stöd för
både IS och RSA, inte till punktinsatser och projekt

Att introducera MSB:s myndighetsstöd på området, men inte i detalj.
Behoven varierar beroende på myndighet.
Myndigheten för samhällsskydd och beredskap
Upplägget för IS-passet (75 minuter)
1)
2)
3)
4)
5)
6)
7)
8)
9)
10)
11)
12)
Tom Andersson, SISA och ICS i korta ordalag (2 minuter)
Konferenspassets upplägg (3 minuter)
Begreppsdefinitioner och illustrationer – ”informationssäkerhet”, ”cybersäkerhet”,
”incident” och ”risk” (5 minuter)
Krisberedskapsförordningen, regleringsbrev 2015 och indikatorer i MSB:s RSA
föreskrifter 2015 (5 minuter)
Riksrevisionens granskningar och MSB:s uppföljningar (5 minuter)
Metoder för systematiskt informationssäkerhetsarbete med särskild tonvikt på
informationskartläggning och informationsklassning (10 minuter)
Verksamhetsstyrning och uppföljning av informationssäkerhet – sammanfattning
av SISA:s undersökningar (10 minuter)
Informationssäkerhet i förra årets RSA från några myndigheter (5 minuter)
Myndighetsplaner och aktiviteter för informationssäkerhet i RSA 2015 (5 minuter)
MSB:s myndighetsstöd för informationssäkerhet i RSA (5 minuter)
Avslutande reflektioner – vikten av samsyn på verksamhetsvärdet av information
för god säkerhetskultur (5 minuter)
Frågor och diskussion (15 minuter)
Myndigheten för samhällsskydd och beredskap
Informationssäkerhet
?
Tillstånd som innebär skydd
med avseende på
konfidentialitet, riktighet,
tillgänglighet och spårbarhet
hos information
Definition i MSB:s vägledning
”Informationssäkerhet i upphandling”:
Skyddet bör omfatta verksamhetens
informationsförsörjning och
hantering i sin helhet, som
verksamhetsprocesser, inte bara itsystem och nätverk.
Myndigheten för samhällsskydd och beredskap
Terminologi – SIS-TR 01:2015 / HB550
Konfidentialitet
 skydd mot obehörig insyn
Riktighet
 skydd mot oönskad förändring
Skydd mot obehöriga användare av
it, system och nätverk är ledmotivet i
denna och andra branschtexter.
Tillgänglighet
 åtkomlighet för behörig person
vid rätt tillfälle
Fokus på intrångsskydd, ibland även
driftsäkerhet, avseende it-system och
elektroniska kommunikationer, utan
helhetssyn på kvalitet och säkerhet
(styrning) i informationshantering .
Spårbarhet
 entydig härledning av utförda
aktiviteter till en identifierad
användare
Information, roller och behörigheter
antas mer eller mindre givna. Sällan
tas hänsyn till verksamhetsprocesser
och användare i säkerhetsdesign.
Myndigheten för samhällsskydd och beredskap
Informationssäkerhet
Verksamhetsmål
för informationshantering




Konfidentialitet
Riktighet
Tillgänglighet
Spårbarhet
Informationshantering,
försörjning och
delning
MTO och
MDI
Styrning
och
uppföljning
Inte primärt lagkrav på
sekretess.
Inte primärt tekniska
krav på system och
nätverk.
Informationssystem
Formella språk
Automatiska processer
Informationsteknik
Infrastruktur
Myndigheten för samhällsskydd och beredskap
Incidenter och risker av relevans för
informationshantering
Omoget kunskapsområde,
många oklara begrepp – it/cyber-/informations(säkerhets)incidenter/risker
Incidenter (risker) av relevans
inkluderar alla slags (potentiella)
målavvikelser i informationshantering avseende
informationens konfidentialitet,
riktighet, tillgänglighet eller
spårbarhet.
Konsekvenser kan vara förluster i
hälsa, pengar, förtroende, social
stabilitet., med mera.
Myndigheten för samhällsskydd och beredskap
Dataintrång och it-haverier –
ett snävt riskperspektiv
Över häften av de värsta incidenterna beror på
mänskliga fel och felaktig användning av system,
e-post och internet. Sju av tio offentliggör inte
värsta incidenten.
Information Security Breaches Survey 2014
Risk för bias. Större intresse att skylla på externa
attacker än egna fel och brister.
Jmf. Im, G. P., & Baskerville, R. L. (2005). A longitudinal study
of information system threat categories: the enduring problem
of human error. ACM SIGMIS Database, 36(4), 68-79.
Figur i “Markets for Cybercrime Tools and Stolen Data”, RAND
National Security Research Division
CC BY-NC 3.0 — David McCandless © 2013s
http://www.informationisbeautiful.net/
10
Myndigheten för samhällsskydd och beredskap
IS-incidenter och risker förutsätter generellt
ett verksamhetsperspektiv.
För andra incidenter och
risker är utfallet långt mer
komplext och måste förstås
utifrån verksamheten eller
organisationen ifråga.
Vän eller fiende?
Tekniskt fel eller mänsklig faktor?
Vinster eller förluster?
Avsiktlig handling
I ett massmedialt perspektiv
ter sig förluster av it-attacker
och it-haverier entydiga, i
likhet med materiella
olyckor och fysiska skador.
Oavsiktlig händelse
Globala konsekvenser
Samhälls- eller
marknadsförluster?
Verksamhetsperspektivet är
A och O för riskanalys.
Lokala konsekvenser
Myndigheten för samhällsskydd och beredskap
Lagkrav på styrning och uppföljning av
informationssäkerhet
Aktuella föreskrifter på
området betonar risk- och
incidenthantering i ett
verksamhetsperspektiv, inte
krisberedskap i ett
samhällsperspektiv.
Myndigheten för samhällsskydd
och beredskaps föreskrifter om
statliga myndigheters
informationssäkerhet
Finansinspektionens
föreskrifter och allmänna råd
om informationssäkerhet, itverksamhet och
insättningssystem
Socialstyrelsens föreskrifter om
informationshantering och
journalföring i hälso- och
sjukvården
Myndigheten för samhällsskydd och beredskap
MSB:s uppföljning av föreskrifter
Policy och styrande dokument
 84 % av myndigheterna har en
informationssäkerhetspolicy
 Ÿ
26 % av myndigheterna kontrollerar
inte efterlevnaden, om riktlinjer följs
av medarbetarna.
Informationsklassning
 Ÿ
67 % av myndigheterna har en
informationsklassningsmodell.
 Ÿ
41 % av myndigheterna uppger att det
inte är tydligt uttalat vem som
ansvarar för att informationsklassning
genomförs.
Riskanalys och dokumentation
 Ÿ
78 % av myndigheterna har en metod
för riskanalys.
35 % av myndigheterna saknar uttalat
Ÿ
ansvar för vem som ska initiera
riskanalyserna.
Kontinuitetsplanering
65 % av myndigheterna saknar en
Ÿ
kontinuitetsplan.

Egna personliga reflektioner
 Existensen av riktlinjer, modeller och
metoder säger inget om arbetet och
dess kvalitet i praktiken.
 Så länge styrning och uppföljning
brister förblir lägesbilder och
hotbilder spekulativa.
Myndigheten för samhällsskydd och beredskap
Nyckelord i Socialstyrelsens beslut om
informationssäkerhet 2011
Nyckelord av relevans för tillsynsområdet
Antal
Patientuppgift
57
Verksamhet
54
Behörighet
41
System
41
Rutin
39
Journal
36
Drift
28
Ansvar
25
Fax
25
Information
24
Myndigheten för samhällsskydd och beredskap
Sparsamt om ”riktighet” och ”spårbarhet”,
jmf med ECRI:s riskbedömningar
ECRI Top Patient Safety
Concerns for 2014 (topp 3 av 10)
ECRI Top Health Technology
Hazards for 2015 (topp 3 av 10)
1. Data integrity failures with health
information technology systems
1. Alarm Hazards
2. Poor care coordination with
patient’s next level of care
3. Test results reporting errors
2. Data Integrity: Incorrect or
Missing Data in EHRs and Other
Health IT Systems
3. Mix-Up of IV Lines Leading to
Misadministration of Drugs and
Solutions
Handlar det om nationella skillnader
i risker eller riskhantering?
15
Myndigheten för samhällsskydd och beredskap
Riksrevisionens granskning (2014:23)
Granskningen svarar på två frågor:
Är regeringens styrning av
Ÿ
informationssäkerhet i den civila
statsförvaltningen effektiv?
Har regeringens stöd- och
tillsynsmyndigheter vidtagit tillräckliga
åtgärder för att informera sig och
regeringen om vilka hot som finns mot
den civila statsförvaltningen, i vilken
omfattning de realiseras och vilka
skyddsåtgärder som vidtas?
Riksrevisionens granskning har visat att
 regeringen inte utövat en effektiv
styrning av informations-säkerheten
i den civila statsförvaltningen och
 regeringens stöd- och
tillsynsmyndigheter endast delvis
har vidtagit nödvändiga åtgärder för
att informera sig och regeringen om
vilka hot som finns mot den civila
statsförvaltningen […]
Arbetet med informationssäkerheten
inte är ändamålsenligt sett till de hot
och risker som finns.
Hur kan vi veta det?
Myndigheten för samhällsskydd och beredskap
Grundproblemet är bristfällig styrning och
uppföljning (tabeller i RIR 2014:23).
Myndigheten för samhällsskydd och beredskap
Metoder för säkerhetsarbetet
Metoder för systematiskt
säkerhetsarbete i
samhällsviktig verksamhet
(SSV)
 Övergripande styrning,
policy och resurser
 Kontinuitetshantering
 Riskhantering
 Händelsehantering
Metoder för systematiskt
informationssäkerhetsarbete (SISA)
 Ledningssystem
(riktlinjer, kontroller och
uppföljning)
 Informationsklassning
 Riskanalys
 Kontinuitetsplanering
 Incidenthantering
Myndigheten för samhällsskydd och beredskap
Informationsklassning – ny vägledning
på G från MSB/ROS/ICS/SISA
Identifiera
Klassa
Välja
skyddsnivå
Myndigheten för samhällsskydd och beredskap
IS förutsätter verksamhetsanalyser och
prioriteringar av processer (funktioner)
Säkerhetsarbetet bygger på
att något är skyddsvärt.
Ytterst rör det sig om värden
som liv och hälsa, demokrati
och kapital/resurser.
Verksamhet med ansvar för
att upprätthålla och skydda
dessa värden kan sägas vara
samhällsviktiga.
All verksamhet rymmer mer
eller mindre verksamhetskritiska processer
(funktioner).
Allvarliga störningar av
kritiska funktioner kan hota
verksamhetens fortlevnad
och därmed även de värden
som ska skyddas.
Myndigheten för samhällsskydd och beredskap
Illustration av verksamhetsprocesser
och kritisk information
Värna demokratin
Tillgodose behovet av
utbildning
Tillgodose behovet av vård
och sociala tjänster
Huvudprocesser
i Eskilstuna
Tillgodose behovet av kultur
och berikande fritid
Äldrevård
Larm
Kritiska info-funktioner
(eget tillägg)
Tillgodose miljö- och
samhällsbyggnadsarbete
Vattenförsörjning
Indikator
Bedriva samhällsskydd och
säkerhetsarbete
Räddning
VMA
Främja näringsliv och arbete
Myndigheten för samhällsskydd och beredskap
Informationskartläggning – information
kontra informationsbärare
Verksamhetskritisk information (funktion) är detsamma som it-system. Ett
system kan tjäna många funktioner. Flera system kan tjäna en funktion.
Myndigheten för samhällsskydd och beredskap
Informationsklassningsmatris
Aspekt
Konfidentialitet
Riktighet
Tillgänglighet
Spårbarhet
Konsekvens
Rikets säkerhet
Mycket allvarlig
Allvarlig
Lindrig
Öppen info
Myndigheten för samhällsskydd och beredskap
Normskala för verksamhetens konsekvensanalys av potentiella incidenter
Mycket allvarliga konsekvenser
• Äventyrar liv och hälsa, Förödande för organisationens verksamhet, Olagligt, Bryter
allvarligt avtalsförhållanden, Avgörande för organisationens trovärdighet, Mycket
stor ekonomisk påverkan, Mycket stor påverkan på personal
Allvarliga konsekvenser
• Kan leda till personskada, Långa och allvarliga avbrott i verksamheten, Gråzonen för
som är lagligt, Påverkar möjligheten att leva upp villkor i avtal, Kan hota
organisationens trovärdighet, Har stor ekonomisk påverkan, Stor påverkan på
personal,
Lindriga konsekvenser
• Mindre avbrott i verksamheten (del eller delar av), Kan påverka organisationens
trovärdighet, Viss ekonomisk påverkan, Liten personell påverkan
Myndigheten för samhällsskydd och beredskap
Verksamhetens informationsklassning klargör
skyddsvärden och målbilder.
Målbilder
Myndigheten för samhällsskydd och beredskap
Informationsklassning och riskanalys
 Informationsklassning är en form av konsekvensoch riskanalys i verksamheten som syftar till
prioriteringar av säkerhetsarbetet.
 Utgångspunkten är skyddsvärden i en verksamhet,
till skillnad från riskanalyser där hotbilder ofta är
utgångspunkten.
 I likhet med riskanalyser görs dock en bedömning av
rimligheten i konsekvenser, till skillnad från
konsekvensanalyser i kontinuitetshantering där
värsta tänkbara scenario betonas.
Myndigheten för samhällsskydd och beredskap
Informationsstyrning och uppföljning i
läkemedelskedjan
27
Myndigheten för samhällsskydd och beredskap
Sjukhusapoteket VGR – systemöversikt
för läkemedelsrekvisition
28
Myndigheten för samhällsskydd och beredskap
Utan tydliga och samordnade målbilder,
höga verksamhetsrisker med
systemutveckling.
Hur ska ett serviceavtal med en
leverantör se ut?
 För Apoteket AB/RGL gäller
ett leveranskrav på 24timmar efter mottagen
beställning.
 Avtalet mellan VGR och
Apoteket AB reglerar en
servicenivå på 98 procent
under ett år.
 I teorin är det möjligt med ett
leveransstopp på 10,2 dygn
utan att det bryter mot
avtalet.
29
Myndigheten för samhällsskydd och beredskap
Styrning och uppföljning
En stor mängd litteratur om metrik i
teorin (standarder).
Information Security Metrics State of the Art. DSV Report series
No 11-007. Mar 25, 2011.
http://www.divaportal.org/smash/get/diva2:469570/FULLTEXT01.pdf
Mer sällsynt med litteratur om praxis
om uppföljning och rapportering.
Uppföljning av
informationssäkerhet i vården.
Rapport Msb820.
http://rib.msb.se/Filer/pdf%5C27547.pdf
Studier indikerar att uppföljning och
rapportering av informationssäkerhet
är eftersatt.
Baker, W. H., & Wallace, L. (2007). Is information
security under control? Investigating quality in
information security management. Security &
Privacy, IEEE, 5(1), 36-44.
Kwon, J., & Johnson, M. E. (2013). Security
practices and regulatory compliance in the
healthcare industry. Journal of the American
Medical Informatics Association, 20(1), 44-51.
Föreskrifter, riktlinjer och rutiner
motiverar inte till någon systematik i
rapportering och därmed inte heller i
uppföljning.
Myndigheten för samhällsskydd och beredskap
Effektivitet förutsätter både målvärden
och resultatmätning.
Loggrutin
Effektivitet
 Ett slumpmässigt urval
om 10% av behörig
personal,
 en gång per månad,
 för kontroll av åtkomst
till journaler under en
slumpmässig dag denna
månad.

Om ”jag” gör dataintrång varje
arbetsdag under hela året är
sannolikheten för att undgå
upptäckt under ett helt år 0.28
(=0.912).

Om ”jag” gör ett enda dataintrång
under ett helt år är sannolikheten
för att undgå upptäckt 0.995
(=0,9+0.1*20,43/21,43)

Då är inget nämnt om obehöriga
som ändå har ”behörighet”, t.ex.
it-personal.
Myndigheten för samhällsskydd och beredskap
Informationssäkerhetsrisker
följer av osäker
informationshantering.
Informationssäkerhet
Läkemedelshantering
Patientsäkerhet
Myndigheten för samhällsskydd
32 och beredskap
Utbrott av meningit och
andra infektioner



Orena steroidinjektioner från New England
Compounding Center (NECC) (jämför APL)
till 14 000 patienter
751 fall och 64 döda
September-december 2012
Källa: CDC 2013
Senate Appropriations Committee Direct
FDA to Meet With Doctors, Patients,
Pharmacists on Compounding Law (2014)
Amerikanska kongressens utskott för energi och
handel: “FDA's Missed Opportunities
to Protect Public Health” (2013)
[…] doctors, patients, providers, and whistleblowers tried to warn FDA for years that NECC
and Ameridose were operating […] without
patient prescriptions […] about sterility and
safety issues […] FDA chose not to act.
Länk: http://energycommerce.house.gov/press-release/committee-report-meningitis-
“The purpose of the compounding law is to end
confusion and improve communication so we
can help prevent another tragic meningitis
outbreak. If FDA isn’t sitting down with doctors,
patients and pharmacists and communicating
how it is implementing the law, then I will stay
on FDA until it does.” – Lamar Alexander
Länk: http://www.help.senate.gov/newsroom/press/release/?id=d840c1ed-900a48b4-b98e-f13877fed770
outbreak-chronicles-fdas-missed-opportunities-to-protect-public-health
Myndigheten för samhällsskydd
33 och beredskap
Oklar incident- och riskrapportering – ett
undantag som bekräftar regeln på
säkerhetsområdet
Urvalskriterier för global analys
av strömavbrott

fler än 1000 drabbade

längre än 1 timme

Antal drabbade x avbrottets
varaktighet > 1 miljon
person-timmmar
Resultat: 133 avbrott
Bompard, E., Huang, T., Wu, Y., & Cremenescu, M. (2013). Classification and trend analysis of threats origins to the
security of power systems. International Journal of Electrical Power & Energy Systems, 50, 50-64.
Myndigheten för samhällsskydd och beredskap
Oklar incident- och riskrapportering – ett
undantag som bekräftar regeln på
säkerhetsområdet
Bompard, E., Huang, T., Wu, Y., & Cremenescu, M. (2013). Classification and trend
analysis of threats origins to the security of power systems. International Journal of
Electrical Power & Energy Systems, 50, 50-64.
Myndigheten för samhällsskydd och beredskap
It-haverier i vården – incidentstatistik
och analys i Kina, men inte i EU
Lei, J., Guan, P., Gao, K., Lu, X., Chen, Y., Li, Y., ... & Zheng, K. (2014). Characteristics of health IT outage and
suggested risk management strategies: An analysis of historical incident reports in China. International journal of
medical informatics, 83(2), 122-130.
Myndigheten för samhällsskydd och beredskap
Förordning (2006:942; 2008:1003) om
krisberedskap och höjd beredskap
Förordningen innebär en explicit koppling mellan
verksamhetsrisker och krisberedskap.
30 § Varje myndighet ansvarar för att egna
informationshanteringssystem [betoning eget tillägg]
uppfyller sådana grundläggande och särskilda
säkerhetskrav att myndighetens verksamhet kan utföras på
ett tillfredsställande sätt. Därvid ska behovet av säkra
ledningssystem särskilt beaktas.
Myndigheten för samhällsskydd och beredskap
MSB:s föreskrifter och allmänna råd om
risk- och sårbarhetsanalyser
Indikatorer för bedömning av statliga myndigheters
generella krisberedskap
19. Myndigheten hanterar information säkert. Systematiskt
säkerhetsarbete bedrivs i enlighet med MSB:s föreskrifter (MSBFS
2009:10) om statliga myndigheters informationssäkerhet.
20. Myndigheten har rutiner för att identifiera och hantera kritiska
beroenden till system och tjänster för informationshantering som är av
central betydelse för myndighetens verksamhet.
21. Myndigheten ställer krav på informationssäkerhet när
informationshantering upphandlas av en extern leverantör.
Myndigheten för samhällsskydd och beredskap
Regleringsbrev 2015
[Myndigheten] ska i arbetet med 2015 års risk- och sårbarhetsanalyser
särskilt beakta och analysera informationssäkerheten i de delar av
verksamheten och i de tekniska system som är nödvändiga för att
myndigheten ska kunna utföra sitt arbete.
I detta arbete ska även informationssäkerheten inom myndighetens
ansvarsområde beaktas och analyseras.
Myndigheten ska redovisa en bedömning av informationssäkerheten
samt vidtagna åtgärder.
Redovisningen ska vara en del av den sammanställning som görs i
arbetet med risk- och sårbarhetsanalyser enligt 9§ förordningen
(2006:942) om krisberedskap och höjd beredskap.
Myndigheten för samhällsskydd och beredskap
Informationssäkerhet i förra årets RSA
– PTS i en klass för sig
Ingen nämner några konkreta mål
eller resultat med utgångspunkt i
informationsklassning.
Noteringar om PTS RSA 2014
I första hand tillgänglighetsfrågor i ett
samhällsperspektiv.
”Informationssäkerhet” handlar inte
bara om dataintrång. Även
tillgänglighetsfrågor faller under
paraplyet.
Verksamhetens informations-hantering
(PTS) tillkommer i årets RSA.
https://www.pts.se/sv/Dokument/Rapporter/Telefoni/2014/Risk--ochsarbarhetsanalys-for-sektorn-elektronisk-kommunikation---PTS-ER-201428/
Myndigheten för samhällsskydd och beredskap
PTS om avbrott till följd av
programvarufel – hög samhällsrisk
Myndigheten för samhällsskydd och beredskap
PTS om informationssäkerhetshot – låg
samhällsrisk för påverkan på ekommunikationer
Myndigheten för samhällsskydd och beredskap
RSA-planer och aktiviteter 2015
E-postförfrågan om planer och
aktiviteter till 45 myndigheter
varav 21 länsstyrelser (13 april)
Några exempel på svar

SVK: riskanalyser av styr- och
kontroll-system för drift /produktion

PTS: utvidgar RSA till egen
verksamhet

Strålsäkerhetsmyndigheten:
planering utifrån
informationsklassning
Inventering och analys av kritiska
system präglar aktivitetsplaner
som generellt sett är i sin linda.

Folkhälsomyndigheten: koppling
av IS till samhällsviktig verksamhet

Försäkringskassan: IS i intern
styrning och kontroll
Samordnade länsaktiviteter:
metodstöd och enkät till
kommuner

Sjöfartsverket:
systemsäkerhetsanalyser

Trafikverket: gapanalys och
summering av det löpande arbetet
Efter påminnelse svar från 37
myndigheter, varav 19
länsstyrelser.
Myndigheten för samhällsskydd och beredskap
Länsstyrelsernas planer och aktiviteter
Länsstyrelsernas samordnar
till viss del arbetet.

Länsstyrelsens metodstöd (utkast)
Kontinuitetsprojekt
 Krav på webbtjänster
 Kritiska system
 Komptensutveckling

Status på ledningssystem

Metodstöd för informationssäkerhet och samhällsviktig
verksamhet

Enkät till kommuner
Kontaktperson:
Torbjörn Westman,
Västernorrland
Myndigheten för samhällsskydd och beredskap
MSB:s vägledning
Regleringsbrevsuppdrag: Informationssäkerhet i RSA
Principer, metod, rapportering
I denna vägledning beskrivs MSB:s tolkning av uppdraget och mot
bakgrund av denna myndighetens syn på:
 fokusområden i regleringsbrevsuppdraget
 lämpliga arbetssätt och metoder samt
 sätt på vilket redovisningen av analysens resultat kan ske.
Tre fokusområden: Hot, risker, kritiska beroenden, sårbarheter och åtgärder
rörande informationssäkerhet inom myndighetens verksamhet, tekniska
system och ansvarsområde
Myndigheten för samhällsskydd och beredskap
Redovisningsformer och förslag till metod –
sex workshops per fokusområde (W3)
MSB tolkar regeringens inriktning att
redovisning ska ske enligt föreskriven
disposition (MSBFS 2015:3).
Sju bilagor med mallar som stöd för
följande metodförslag.
Fas 0: Formering av arbetsgrupper
Fas I: Identifikation
Steg I – Kontext (W3)
Steg II – Inventering (W3)
Steg III – Klassning (W3)
Resultat: en lista med klassningar
per fokusområde
Fas II: Analys
Steg I – Identifikation/analys av
hot, risker, sårbarheter och kritiska
beroenden (W3)
Resultat: en lista med säkerhetsproblem per fokusområde
Steg II – Identifikation och analys
av åtgärder (W3)
Resultat: en lista med åtgärder per
fokusområde
Fas III: Bedömning
Steg I – Sammanställning
Steg II – Bedömning (W3)
Myndigheten för samhällsskydd och beredskap
Avslutande reflektioner
Oberoende eller separata analyser av verksamhet och tekniska
system (administrativ och teknisk säkerhet) väcker frågor om
samordning av risk-och åtgärdsprioriteringar.
I praktiken lär det ske prioriteringar. Effektivisering lär ske
genom rutinmässig tillämpning av systemsäkerhetsperspektivet.
Styrning och uppföljning av informationshantering, kvalitet och
säkerhet, riskmedvetenhet och säkerhetskultur, lär förbli
lågprioriterade frågor och problem.
Myndigheten för samhällsskydd och beredskap
Definition av ”kultur”
Culture is a pattern of basic assumptions – invented,
discovered, or developed by a given group as it learns to
cope with the problems of external adaptation and
internal integration – that has worked well enough to be
considered valid, and therefore, to be taught to new
members as the correct way to perceive, think and feel in
relation to these problems.
Schein, Edgar H 1985, 'Organisational Culture and Leadership', John Wiley & Sons.
Myndigheten för samhällsskydd och beredskap
Vad prioriterar vi? Samsyn på hotbilder
eller verksamhetsnytta?
Risker formuleras ofta i termer av
attacker mot system och nätverk,
snarare än verksamhetsstörningar
och konsekvenser.
Verksamhetsperspektivet uteblir.
Det gör riskbedömningar
spekulativa.
Källa: Tatar, U., & Karabacak, B. (2012, June). An hierarchical asset valuation method
for information security risk analysis. In Information Society (i-Society), 2012
International Conference on (pp. 286-291). IEEE.
Myndigheten för samhällsskydd och beredskap
Hot (faror) definierar i sig ingen risk.












Forces of Nature (fire, flood, earthquake, lightning)
Act of Human Error or Failure (accidents, employee mistakes)
Quality of Service Deviations from Service Providers (power and WAN service issues)
Technical Hardware Failures or Errors (equipment failure)
Technical Software Failures or Errors (bugs, code problems, unknown loopholes)
Technological Obsolescence (antiquated or outdated technologies)
Compromises to Intellectual Property (piracy,copyright infringement)
Deliberate Acts of Espionage or Trespass (unauthorized access and/or data collection)
Deliberate Acts of Information Extortion (blackmail of information disclosure)
Deliberate Acts of Sabotage or Vandalism (destruction of systems or information)
Deliberate Acts of Theft (illegal confiscation of equipment or information)
Deliberate Software Attacks (viruses, worms, macros, denial of service)
Källa: Tatar, U., & Karabacak, B. (2012, June). An hierarchical asset valuation method
for information security risk analysis. In Information Society (i-Society), 2012
International Conference on (pp. 286-291). IEEE.
Myndigheten för samhällsskydd och beredskap
341 företagschefer om informationsrisker och värden
51
Myndigheten för samhällsskydd och beredskap
Bias i riskuppfattningar – risk beroende
av ansvar och roller
Så länge det inte finns någon
samsyn på informationstillgångar
och deras värde lär det inte heller
finnas någon samsyn ifråga om
risker på området.
Myndigheten för samhällsskydd och beredskap
Värdegemenskap och säkerhetskultur
Informationshantering i praktiken definierar till stor del
vad som menas med säkerhetskultur – medarbetarnas
beteendemönster som riskfaktor.
Mot den bakgrunden framstår någon form av samsyn på
informationsvärden som en nödvändig komponent för
god säkerhetskultur och därmed för god säkerhet.
Utan värdegemenskap är effektiviteten i säkerhetsriktlinjer
och rutiner en öppen fråga. Så även effektiviteten i tekniska
säkerhetsåtgärder.
Myndigheten för samhällsskydd och beredskap
Tack
[email protected] (IS i MSB:s RSA)
[email protected] (regeltolkning)
[email protected] (metodstöd)
[email protected] (enhetschef SISA)
[email protected] (kunskapsförsörjning SISA)