OH-serie

Informationssäkerhet och riskhantering

ISO 27000 serien och säkerhetsprocessen

OH-serie

Vem är JOA?Titel: Chef för informations-styrningsfunktionen påLäkemedelsverket

– Med uppgift att utveckla, samordna och kontrollera:

• Säkerhet• Informationsstyrning• Riskstyrning

Uppgift: Att bygga upp ett fungerande program för informationssäkerheten och se till att informationssäkerhetsfrågorna tas om hand på ett riktigt sätt i Läkemedelsverkets projekt för att digitalisera all information.Övriga uppdrag: Ordförande i svenska standardiseringskommittén för att ta fram och införa ledningssystem för informationssäkerhet. Tidigare uppdrag: Yrkesofficer, säkerhetshandläggare på Vattenfall, Säkerhetschef på Ericsson Telecom, Säkerhetsexpert på Trygg-Hansa, Risk manager på Bull och Säkerhetschef påRiksbanken.Familj: Fru och två vuxna barn.Intressen: Musik och matlagning.

OH-serie

Tack till våra sponsorer

OH-serie

INTRO SIS

OH-serie2008-12-18 5

SIS, Swedish Standards InstituteVD Lars Flink

Bygg och anläggning

Hälso- och sjukvård

Industriteknik

Informationshantering

Ledningssystem

Materialteknik

Miljö och energi

Tjänster och personlig säkerhet

Utveckling

Standardisering

SIS Forum AB

SIS Förlag AB

Stödjande funktioner

OH-serie2008-12-18 6

SIS Ledningssystem

Kvalitetsledning ISO 9001Miljöledning ISO 14001 Informationssäkerhet ISO/IEC 27001Arbetsmiljö OHSAS 18001Risk Management ISO 31000

OH-serie2008-12-18 7

Standardiseringens organisation

Globalt

IEC ISO ITU

Europeiskt

CENELEC CEN ETSI

Svenskt

SEK SIS ITS

OH-serie2008-12-18 8

ISO - International Organization for standardization

Bildades 1946 C:a 15 000 nu gällande standarder

Huvudkontor i Geneve

151 medlems-länder, varav c:a 90 aktiva

OH-serie2008-12-18 9

Vår vision informationssäkerhet?!

Skapat förutsättningar för rätt säkerhet i samhället genom att standarderna i ISO 27000-serien är det naturliga valet för styrt informationssäkerhetsarbete.

OH-serie2008-12-18 1010

WG1 ISMS Standards

Chair Prof. Ted Humphreys WG4 ISMS Services

Chair Meng-Chow Kang

WG2Security

TechniquesChair Prof. Kenji Namura

WG3Security

EvaluationChair Mats Ohlin

FMV

WG5Privacy,

ID management and Biometrics

Chair Kai Rannenberg

ISO/IEC JTC1 SC27Chair Dr. Walter Fumy

Vice Chair Dr. Marijike de SoeteSecretary Krystyna Passia (DIN)

Källa: Ted Humphreys

OH-serie2008-12-18 11

Deltagarländer i ISO/IEC JTC 1/SC 27

Australien, Belgien, Brasilien, Cypern, Danmark, Finland, Frankrike, Holland, Indien, Italien, Japan, Kanada, Kazakstan, Kenya, Kina, Korea, Luxembourg, Malaysia, Nya Zeeland, Norge, Polen, Ryssland, Singapore, Sydafrika, Spanien, Sri Lanka, Storbritannien, Sverige, Schweiz, Tjeckien, Tyskland, Ukraina, USA, Uruguay, Venezuela, Österrike

(Totalt: 36 länder)

Liaison organization med bl.a. ITU och ISACA.

OH-serie2008-12-18 12

Att vara med i ISO 27000-arbetet Löpande öppet för nya projektdeltagare

Slutanvändare av standarden en viktig grupp

Deltagaren satsar: - Egen kompetens och tid- Delfinansiering av projektet

Deltagaren får: - Möjlighet att påverka ISO 27000-serien- Tillgång till svenskt och internationellt nätverk- Tidig information om standarderna- Tillgång till aktuella standarder- Ny kompetens

OH-serie2008-12-18 13

Som deltagare i TK 318 LISEn fast plats i TK 318 Ledningssystem för informationssäkerhet. C:a fyra möten per år.Vår- och höstmöte i konferensform med utbildnings- och nätverksaktiviteter.Möjlighet för andra personer att delta i alla arbetsgrupper.Friplats för aktiva i TK 318 till årliga öppna seminarier.Möjlighet att delta internationellt i SC 27/WG 1 ISMS Standards.Tillgång till alla arbetsdokument inom ISO 27000-serien och relaterade standarder via dokumentserver på Internet: ”Livelink”.Ett friex. av alla färdiga standarder inom ISO 27000-serien.Kostnadsfritt deltagande i SIS kurser om internationell standardisering.Syns i informationsmaterial och på SIS webb.

OH-serie

INTRO RISKHANTERING

2008-12-18 14

OH-serie

Lagar som styr riskhantering 1 (3)

Förordning (2007:603) om intern styrning och kontroll. 3§ En riskanalys skall göras i syfte att identifiera omständigheter som utgör risk för att de krav som framgår av 3§ myndighetsförordningen inte fullgörs.Denna förordning anger även krav på kontrollåtgärder (skyddsåtgärder), uppföljning och dokumentation.

Förordning (2006:942) om krisberedskap och höjd beredskap.9 § Varje myndighet skall i syfte att stärka sin egen och samhällets krisberedskap årligen analysera om det finns sådan sårbarhet eller sådana hot och risker inom myndighetens ansvarsområde som synnerligen allvarligt kan försämra förmågan till verksamhet inom området.Vid denna analys skall myndigheten särskilt beakta:1. situationer som uppstår hastigt, oväntat och utan förvarning, eller en situation där det finns ett hot eller en risk att ett sådant läge kan komma att uppstå,2. situationer som kräver brådskande beslut och samverkan med andra aktörer,3. att de mest nödvändiga funktionerna kan upprätthållas i samhällsviktig verksamhet, och4. förmågan att hantera mycket allvarliga situationer inom myndighetens ansvarsområde.

OH-serie

Lagar som styr riskhantering 2 (3)Förordning (1995:1300) om statliga myndigheters riskhantering3 § Varje myndighet skall identifiera vilka risker för skador eller förluster som finns i myndighetens verksamhet. Myndigheten skall värdera riskerna och beräkna vilka kostnader som staten har eller kan få med hänsyn till dessa risker. Resultatet skall sammanställas i en riskanalys.Varje myndighet skall vidta lämpliga åtgärder för att begränsa risker och förebygga skador eller förluster.

ISO/IEC 27001 och 27002 Ledningssystem för informationssäkerhet27001 – Organisationen skall göra följande:- Identifiera riskerna.- Identifiera tillgångarna inom LIS:s omfattning och tillgångarnas ägare.- Identifiera hoten mot dessa tillgångar.- Identifiera de sårbarheter som skulle kunna utnyttjas av hoten.- Identifiera de konsekvenser som förlust av sekretess, riktighet och tillgänglighet kan ha för tillgångarna.27002 - 4.1 Bedömning av säkerhetsrisker Riskbedömningar bör identifiera, kvantifiera och prioritera risker mot kriterier för riskacceptans och mål som är relevanta för organisationen.

Riskbedömning bör innefatta ett systematiskt sätt att uppskatta riskernas omfattning (riskanalys) och att jämföra de uppskattade riskerna mot riskkriterier för att avgöra riskens betydelse (riskvärdering).

Riskbedömning bör också utföras periodiskt för att behandla förändringar av säkerhetskraven och riskläget, t.ex. i fråga om tillgångar, hot, sårbarheter, påverkan, riskvärdering och när viktiga förändringar sker. Dessa riskbedömningar bör vidtas på ett metodiskt sätt som förmår ge jämförbara och reproducerbara resultat.

Bedömningen av informationssäkerhetsrisker bör ha en klart definierad omfattning för att bli effektiv och bör innefatta kopplingar till riskbedömning inom andra områden där det är lämpligt.

OH-serie

Lagar som styr riskhantering 3 (3)

Arbetsmiljölagen och arbetsmiljöförordningenArbetsgivaren skall veta vilka risker det finns i verksamheten som kan skada arbetstagarna.

Lag (2003:778) om skydd mot olyckor - Skyldigheter vid farlig verksamhet4 § Vid en anläggning där verksamheten innebär fara för att en olycka skall orsaka allvarliga skador påmänniskor eller miljön, är anläggningens ägare eller den som utövar verksamheten på anläggningen skyldig att i skälig omfattning hålla eller bekosta beredskap med personal och egendom och i övrigt vidta nödvändiga åtgärder för att hindra eller begränsa sådana skador.Den som utövar verksamheten är skyldig att analysera riskerna för sådana olyckor som anges i första stycket.Första och andra stycket gäller även flygplatser som har godkänts enligt 6 kap. 9 § första stycketluftfartslagen (1957:297).

”To be complient or not to be complient – that is the question?”

OH-serie

Hotbilden

OH-serie

Hotutveckling

Source: Cisco

OH-serie

Users instalpatch

Vendor patchesvulnerability

Vulerabilitypopularized

Vulnerabilitydiscovered

Vulnerabilityannounced

Time

Risk

OH-serie

Sårbarheter 2003

Källa: Nätverk&Kommunikation, 10‐2004

OH-serie

Utveckling 2007-2008 (MessageLabs)

OH-serie

Varifrån sker angreppen?

OH-serie

Sätt incidentarbetet i ett större sammanhang

OH-serie

Källa: Leo Berntsson

OH-serie

Riskhantering och riskstyrning

Syfte

Riskhantering Riskstyrning

Identifiera, värdera affärsrisker och besluta om åtgärder.

Utmana och kvalitetssäkra Riskhantering enligt gällande

riktlinjer.

Kunskap och transparens gällande vilka risker LV tar.

Upprätta policys och riktlinjer för verket.

Delegerat till verksamhetsområdets chefer i enlighet med arbetsordningen.

IS-funktionen ansvarig förutveckling, samordning och

kontroll

Nyckelfunktioner

PerspektivVerksamhetsdrivna beslut och

bedömningar.Neutrala och objektiva värderingar.

Genomföra risk analyser förBeslutsfattande.

Genomför åtgärder för att hanterarisker enligt gällande policys.

Uppfylla externa krav på RM så som

från krisberedskap, intern styrning och

kontroll, etc.

Aggregera, sammanställ och kvalitets-

säkra extern och intern risk rapportering.

OH-serie

Enhetlig styrning och hantering av LV:s risker

Styrelse

GD

Vetenskaplig kvalitetsledning

GDssekretariat

Informations‐hantering

Läkemedel 1 Läkemedel 2 Medicinteknik och kosmetika

Kommunikation

Stab Verksamhetsu

tveckling

Strategiska risker

Finansiella risker

Projekt risker

Operativa risker

mm.

OH-serie

Modell - Kontinuitetsskydd

EmergencyNormal operations( incl protection and prevention)

Incidenter

Crisis managementBusiness continuity planning

Assets

Threats

Normaloperations

Recovery

2Definition

1

3

4

5

64

7

8

9

1011

3

Kris

AkutlägeNormal drift

KrishanteringKontinuitetsplanering Tid

Tillgångar

Hot

Normaldrift

Återställning

2

Faser

Definition1

3

4

5

64

7

8

9

1011

3

Note: 10 = Inget systemstöd  ; 11 =  Krisläge

med införda skyddsåtgärder

OH-serie

När gör man Riskanalyser?

Riskanalyser LV

Under förstudiefasav nya projekt 

Innan varje nya "beslutspunkt"

Årligen inom alla projekt

Vid större förändringar inom 

projekt

I verksamhets‐planeringsprocessen

Metod xx

Metod xxMetod xxMetod xx

OH-serie

• Riskhantering är grunden i allt!• En incident kan leda till att det inträffar en kris och kontinuitetsplanen använd• En fungerande bra incidenthantering gör ofta att man har en bra förmåga att ta hand

om en kris

Riskhantering

Incidenthantering

Krishantering

Kontinuitetsplan

OH-serie

Riskhanteringsprocess ett exempel Modell 27005

Arbetsmiljö-kontroll

Arbetsmiljö

Internkontroll-metod

Verksamhets-analys

JOA –metodInformations-

analys

SAMRAMVerktyg

Metoder

Modell

OH-serie

Riskanalys – Flödesschema

Identifiera resurserna

Identifiera hot

Bedöm sannolikhet Bedöm konsekvens

Värdera risken

Kan risken accepteras?

JA NEJ

Ingen åtgärd Åtgärder

Avgränsa analysområdet

OH-serie

Förhållandet mellan de olika risk elementen kan beskrivas enligt nedan.

HotUtnyttjar

Sårbarheter/svagheter

Exponering

Risk

Skydd

Tillgångarna

Vilket resulterar i

Vilket ärVilket mildras av

Vilket skyddar

OH-serie

Vad säger standarden 27002?

OH-serie

Riskbedömning och riskhantering

Bedömning av säkerhetsriskerRiskbedömning bör leda till att risker identifieras, kvantifieras och prioriteras mot kriterier för riskacceptans och mål som är relevanta för organisationen.

Riskbedömning bör också utföras periodiskt för att behandla förändringar av säkerhetskraven och riskläget, t.ex. i fråga om tillgångar, hot, sårbarheter, påverkan, riskvärdering och när viktiga förändringar sker.

Bedömningen av risker för informationssäkerhet bör ha en klart definierad omfattning för att bli effektiv och bör innefatta kopplingar till riskbedömning inom andra områden där det är lämpligt.

En riskbedömning kan omfatta hela organisationen, delar av organisationen, ett specifikt informationssystem, enskilda systemdelar eller tjänster där detta är praktiskt, realistiskt och till hjälp.

OH-serie

Hantering av säkerhetsrisker

Innan det bedöms hur en risk skall hanteras, bör organisationen fastställa kriterier för att avgöra om en risk kan godtas eller ej. Risker kan godtas om det t.ex. bedöms att risken är liten eller att kostnaden för att behandla den inte är kostnadseffektiv för organisationen. Sådana beslut bör dokumenteras.

För varje risk som identifieras under riskbedömningen måste ett riskhanteringsbeslut fattas. Möjliga val av riskhantering innefattar:

– att sätta in lämpliga åtgärder för att minska riskerna;– att medvetet och objektivt godta risker, förutsatt att de

tydligt tillgodoser organisationens policy och kriterier för riskacceptans;

– att undvika risker genom att inte tillåta aktiviteter som kan orsaka att riskerna uppkommer;

– att överföra risker till andra parter, t.ex. försäkringsgivare eller leverantörer.

OH-serie

Hantering av säkerhetsrisker forts.

För de risker där riskhanteringsbeslutet har medfört införande av lämpliga åtgärder, bör dessa vara utvalda och införda för att uppfylla de krav som har identifierats genom en riskbedömning. Åtgärder bör säkerställa att risker minskas till en godtagbar nivå med hänsyn till:– krav och restriktioner i nationell och internationell

lagstiftning;– organisationens mål;– verksamhetens krav och begränsningar;– kostnad för införande och drift i förhållande till de

risker som minskas, och så att den står i proportion till organisationens krav och begränsningar;

– behovet av att balansera investeringen i införande och drift av åtgärder mot den skada som kan bli

OH-serie

Demings: Plan-Do-Check-Act-process

OH-serie

27000Overview

& Vocabulary

27001ISMS

Requirements

27003Implementation

Guidance

27004ManagementMeasurement

27005Risk

Management

27006AccreditationRequirements

27002Code ofPractice

Terminology

Requirement

SupportPDCA

ControlImplementation

54

32

18028‐XNetworkSecurity  ‐ 1

18044Incident

Management

18043IDS

Management

54

13335‐XICT

Security  ‐ 3

15947IDS

Framework

27007ISMS Auditor Guidelines

SectorSpecificGuideline

27011Telecom WLA Automotive Health and care

(27799)

OH-serie