Download   Report
  1. No category

Betydande skada

Ledningens informationssäkerhet
Thomas Nilsson
[email protected]
Informationssäkerhet = ISO/IEC 27000
•
•
•
•
•
•
•
•
•
•
•
•
•
•
•
SS-ISO/IEC 27000:2016 Översikt och terminologi
SS-ISO/IEC 27001:2014 Ledningssystem för informationssäkerhet - Krav
SS-ISO/IEC 27002:2014 Riktlinjer för informationssäkerhetsåtgärder
SS-ISO/IEC 27003:2010 Vägledning för införande av ledningssystem för informationssäkerhet
SS-ISO/IEC 27004:2009 Mätning
SS-ISO/IEC 27005:2011 Riskhantering för informationssäkerhet
SS-ISO/IEC 27006:2015 Krav på organ som reviderar och certifierar ledningssystem för
informationssäkerhet
ISO/IEC 27007 Guidelines for information security management systems auditing
SS-ISO/IEC 20008:2011 Vägledning om säkerhetsåtgärder för revisorer
ISO/IEC 27010 Information security management for inter-sector and inter-organizational
communications
ISO/IEC 27011 Information security management guidelines for telecommunications organizations
based on ISO/IEC 27002
SS-ISO/IEC 20013:2012 Vägledning för integrerat införande av ISO/IEC 27001 och ISO/IEC 20000-1
SS-ISO/IEC 20017:2015 Riktlinjer för säkerhetsåtgärder för molntjänster baserade på SS-ISO/IEC 27002
SS-ISO/IEC 20018:2015 Riktlinjer för skydd av personuppgifter i publika molntjänster som hanterar
personuppgifter
ISO/IEC 27019 — Information security management guidelines based on ISO/IEC 27002 for process
control systems specific to the energy utility industry
Vad är utmaningen med infosäk?
•
•
•
•
•
Överväldigande?
Otydliga nyttor?
Inte prioriterat?
För teoretiskt?
Hinner inte!
Utmaningar i den vanlig vardagen
• Förändringstakten är enorm!
• Ny användarmönster
• Ändrade beteenden
• Teknisk utveckling
• Faktiskt informationssäkerhetsarbete underlättar
• Det kan ju va fruktansvärt långtråkig, o dötrist,
o tråkig, o alldeles... alldeles underbart!
• Våga göra informationssäkerhetsarbetet enkelt!
En första målbild – tre parallella spår
Fullmäktige
Policy
Säkerhetsarkitektur
Kontrollkatalog
Styrelsen
Verksamheten
Riktlinjer
Klassning
Mönster
Riskanalys
Skyddsåtgärder
(krav)
Kontinuitetsplanering
Klassning – Fyra kravområden
•
•
•
•
Konfidentialitet
• att informationen kan åtkomstbegränsas
Riktighet
• att informationen ska vara tillförlitlig, korrekt och fullständig
Tillgänglighet
• att informationen ska kunna nyttjas efter behov, i förväntad
utsträckning samt av rätt person med rätt behörighet
Spårbarhet
• att aktiviteter som rör informationen kan spåras
Källa SS-ISO/IEC 27000
Klassning – Fyra konsekvensnivåer
•
•
•
•
Allvarlig skada
• ex massiv informationsförlust, verksamhetsförlust, oöverskådliga
konsekvenser, samt fara för liv och hälsa
Betydande skada
• ex tillgänglighetsstörningar, brott mot regelverk, rättsliga krav
och avtal, samt förlust av skapat förtroende
Måttlig skada
• ex minskad förmåga att genomföra verksamhetens uppgifter,
men effektiviteten är påvisbart reducerad
Försumbar skada
Källa SIS/MSB/SKL
Ett klassiskt(?) övningsexempel
System
Applikation
Informationstillgång
Nattillsyn
•
•
•
•
Konfidentialitet
?
Riktighet Tillgänglighet
?
?
Spårbarhet
?
Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust,
oöverskådliga konsekvenser, samt fara för liv och hälsa
Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk,
rättsliga krav och avtal, samt förlust av skapat förtroende
Måttlig skada - ex minskad förmåga att genomföra verksamhetens
uppgifter, men effektiviteten är påvisbart reducerad
Försumbar skada
Ett klassiskt(?) övningsexempel
•
•
•
•
System
Applikation
Informationstillgång
Konfidentialitet
Riktighet Tillgänglighet
Spårbarhet
Nattillsyn
Betydande
Allvarlig
Betydande
Måttlig
Allvarlig skada - ex massiv informationsförlust, verksamhetsförlust,
oöverskådliga konsekvenser, samt fara för liv och hälsa
Betydande skada - ex tillgänglighetsstörningar, brott mot regelverk,
rättsliga krav och avtal, samt förlust av skapat förtroende
Måttlig skada - ex minskad förmåga att genomföra verksamhetens
uppgifter, men effektiviteten är påvisbart reducerad
Försumbar skada
Förmågan att tillämpa resultatet är A&O
Fullmäktige
Policy
Säkerhetsarkitektur
Kontrollkatalog
Styrelsen
Verksamheten
Riktlinjer
Klassning
Mönster
Riskanalys
Skyddsåtgärder
(krav)
Kontinuitetsplanering
Förmågan att tillämpa resultatet är A&O
Fullmäktige
KLASSA?
Policy
Kontrollkatalog
Styrelsen
Verksamheten
Riktlinjer
Klassning
Mönster
Riskanalys
Skyddsåtgärder
(krav)
Kontinuitetsplanering
Krav på innehållet i säkerhetsarkitekturen
Verksamheten
Klassning
Riskanalys
Kontinuitetsplanering
Säkerhetsarkitektur
Kontrollkatalog
Mönster
Skyddsåtgärder
(krav)
Ramverk
MSB 629
KSF 3.x
ELN 0700
FIPS 140-2
Regulatoriska
krav
PUL/GDPR
SOSFS
Dataskyddsförordningen (DSF/GDPR)
•
•
•
Ersätter Personuppgiftslagen (PuL) 25 maj 2018
Känsliga personuppgifter:
• Politiska åsikter, religiös eller filosofisk övertygelse,
medlemskap i fackförening, ras eller etniskt
ursprung, hälsa eller sexualliv, eller DNA.
Exempel på uttolkning av krav
• Åtkomst till känsliga personuppgifter som tillgängliggörs över öppna nät måste föregås av stark
autentisering
Källa: PuL (1998:204) samt flera av Datainspektionens tillsynsärenden
Största skillnaderna mellan GDPR och PuL
•
•
•
•
•
•
•
•
•
Dataskyddsombud (DPO) med kunskap och kompetens
Missbruksregeln försvinner
• Behandling i ostrukturerat material
Intresseavvägningen försvinner
Tydligare krav på samtycke
Sanktionsavgifter
• Max 20 000 000 Euro eller 4% av omsättning
Incidentrapportering inom 72h
Rätt att bli bortglömd
Rätt att få ut personuppgifter i digitalt format
Inbyggt dataskydd och dataskydd som standard
Certezzas 7-punktsprogram
1. Skapa medvetenhet inom organisationen
2. Utse ett dataskyddsombud (DPO)
3. Inventera all behandling, rättsligt stöd
och typ av behandling
4. Efterlev de registrerades rättigheter
5. Tills incidentrapporteringsförmåga
6. Se över alla avtalsrelationer
7. Bevisa att ni har tillräcklig datasäkerhet
25 maj 2018
Effekten är rätt säkerhet – över tid
• För hög säkerhet
• ger onödigt höga kostnader
• För låg säkerhet
• ger onödigt höga risker
• Ett metodiskt arbete
• ger rätt säkerhet över tid
• Inte längre några ”specialare”
• vid sidan om det ”vanliga”
Melius est praevenire quam praeveniri
Det är bättre att förekomma än att förekommas
Certezzas årliga säkerhetsdag #20 – sakerhetsdagen.se
Förmiddag
• Tillit till IoT
• Mobil LoA3
• Kampen mot DDoS
• Expressen, MSB, IP-only
• Pentesterfarenheter
• Senaste årets höjdpunkter”
Eftermiddag
• Google tar & Tor ger
• Dataskyddsförordningen
• 10 punktsprogrammet
• Identitetshantering
• Krypton & nycklar
• Tänk i boxen
https://www.sakerhetsdagen.se/
PE 500 EL Black - Nordic Plastics Group

PE 500 EL Black - Nordic Plastics Group

PE 1000 M EHS (Extra heat stabilized)

PE 1000 M EHS (Extra heat stabilized)

ARCOFLEX H01N2-D 100 V

ARCOFLEX H01N2-D 100 V

Tyger, band, krympslang

Tyger, band, krympslang

SE - Axel Larsson

SE - Axel Larsson

IEC 60601-1, 3:e utgåvan, inklusive nya Amendment 1

IEC 60601-1, 3:e utgåvan, inklusive nya Amendment 1

Netcon 100 - Netcontrol

Netcon 100 - Netcontrol

Firetuf FRHF-EMC 0,6/1 (1,2) kV

Firetuf FRHF-EMC 0,6/1 (1,2) kV

IEC/EN 61010-1; elektrisk utrustning för mätning, styrning

IEC/EN 61010-1; elektrisk utrustning för mätning, styrning

Lågspänningsställverk EPSS-T

Lågspänningsställverk EPSS-T

Kopia av Kopia av Kopia av Kopia av

Kopia av Kopia av Kopia av Kopia av

abcdocz.com

© Copyright 2024