Informationsskerhet och riskhanteringISO 27000 serien och skerhetsprocessen

OH-serie

Titel: Chef fr informationsstyrningsfunktionen p Lkemedelsverket

Vem r JOA?

Uppgift: Att bygga upp ett fungerande program fr informationsskerheten och se till att informationsskerhetsfrgorna tas om hand p ett riktigt stt i Lkemedelsverkets projekt fr att digitalisera all information. vriga uppdrag: Ordfrande i svenska standardiseringskommittn fr att ta fram och infra ledningssystem fr informationsskerhet. Tidigare uppdrag: Yrkesofficer, skerhetshandlggare p Vattenfall, Skerhetschef p Ericsson Telecom, Skerhetsexpert p Trygg-Hansa, Risk manager p Bull och Skerhetschef p Riksbanken. Familj: Fru och tv vuxna barn. Intressen: Musik och matlagning.

Med uppgift att utveckla, samordna och kontrollera: Skerhet Informationsstyrning Riskstyrning

OH-serie

Tack till vra sponsorer

OH-serie

INTRO SIS

OH-serie

Bygg och anlggning Hlso- och sjukvrd Industriteknik Informationshantering

SIS Forum AB

Stdjande funktioner

SIS, Swedish Standards Institute VD Lars Flink

Ledningssystem Materialteknik Milj och energi

SIS Frlag AB

StandardiseringTjnster och personlig skerhet Utveckling

2008-12-18

OH-serie

5

SIS LedningssystemKvalitetsledning Miljledning Informationsskerhet 27001 Arbetsmilj Risk Management ISO 9001 ISO 14001 ISO/IEC OHSAS 18001 ISO 31000

2008-12-18

OH-serie

6

Standardiseringens organisationGlobaltIEC ISO ITU

EuropeisktCENELEC CEN ETSI

SvensktSEK SIS ITS

2008-12-18

OH-serie

7

ISO - International Organization for standardizationBildades 1946 C:a 15 000 nu gllande standarder Huvudkontor i Geneve 151 medlemslnder, varav c:a 90 aktiva

2008-12-18

OH-serie

8

Vr vision informationsskerhet?!

Skapat frutsttningar fr rtt skerhet i samhllet genom att standarderna i ISO 27000-serien r det naturliga valet fr styrt informationsskerhetsarbete.

2008-12-18

OH-serie

9

WG1 ISMS Standards Chair Prof. Ted Humphreys

WG4 ISMS Services Chair Meng-Chow Kang

ISO/IEC JTC1 SC27 Chair Dr. Walter Fumy Vice Chair Dr. Marijike de Soete Secretary Krystyna Passia (DIN)

WG5 Privacy, ID management and Biometrics Chair Kai Rannenberg

WG2 Security Techniques Chair Prof. Kenji Namura2008-12-18

WG3 Security Evaluation Chair Mats Ohlin FMVOH-serie

Klla: Ted Humphreys

10

10

Deltagarlnder i ISO/IEC JTC 1/SC 27Australien, Belgien, Brasilien, Cypern, Danmark, Finland, Frankrike, Holland, Indien, Italien, Japan, Kanada, Kazakstan, Kenya, Kina, Korea, Luxembourg, Malaysia, Nya Zeeland, Norge, Polen, Ryssland, Singapore, Sydafrika, Spanien, Sri Lanka, Storbritannien, Sverige, Schweiz, Tjeckien, Tyskland, Ukraina, USA, Uruguay, Venezuela, sterrike (Totalt: 36 lnder) Liaison organization med bl.a. ITU och ISACA.

2008-12-18

OH-serie

11

Att vara med i ISO 27000-arbetetLpande ppet fr nya projektdeltagare Slutanvndare av standarden en viktig grupp Deltagaren satsar: - Egen kompetens och tid - Delfinansiering av projektet Deltagaren fr: - Mjlighet att pverka ISO 27000-serien - Tillgng till svenskt och internationellt ntverk - Tidig information om standarderna - Tillgng till aktuella standarder - Ny kompetens

2008-12-18

OH-serie

12

Som deltagare i TK 318 LISEn fast plats i TK 318 Ledningssystem fr informationsskerhet. C:a fyra mten per r. Vr- och hstmte i konferensform med utbildnings- och ntverksaktiviteter. Mjlighet fr andra personer att delta i alla arbetsgrupper. Friplats fr aktiva i TK 318 till rliga ppna seminarier. Mjlighet att delta internationellt i SC 27/WG 1 ISMS Standards. Tillgng till alla arbetsdokument inom ISO 27000-serien och relaterade standarder via dokumentserver p Internet: Livelink. Ett friex. av alla frdiga standarder inom ISO 27000-serien. Kostnadsfritt deltagande i SIS kurser om internationell standardisering. Syns i informationsmaterial och p SIS webb.

2008-12-18

OH-serie

13

INTRO RISKHANTERING

2008-12-18

OH-serie

14

Lagar som styr riskhantering 1 (3)Frordning (2007:603) om intern styrning och kontroll.3 En riskanalys skall gras i syfte att identifiera omstndigheter som utgr risk fr att de krav som framgr av 3 myndighetsfrordningen inte fullgrs. Denna frordning anger ven krav p kontrolltgrder (skyddstgrder), uppfljning och dokumentation.

9 Varje myndighet skall i syfte att strka sin egen och samhllets krisberedskap rligen analysera om det finns sdan srbarhet eller sdana hot och risker inom myndighetens ansvarsomrde som synnerligen allvarligt kan frsmra frmgan till verksamhet inom omrdet. Vid denna analys skall myndigheten srskilt beakta: 1. situationer som uppstr hastigt, ovntat och utan frvarning, eller en situation dr det finns ett hot eller en risk att ett sdant lge kan komma att uppst, 2. situationer som krver brdskande beslut och samverkan med andra aktrer, 3. att de mest ndvndiga funktionerna kan upprtthllas i samhllsviktig verksamhet, och 4. frmgan att hantera mycket allvarliga situationer inom myndighetens ansvarsomrde.

Frordning (2006:942) om krisberedskap och hjd beredskap.

OH-serie

Lagar som styr riskhantering 2 (3)Frordning (1995:1300) om statliga myndigheters riskhantering3 Varje myndighet skall identifiera vilka risker fr skador eller frluster som finns i myndighetens verksamhet. Myndigheten skall vrdera riskerna och berkna vilka kostnader som staten har eller kan f med hnsyn till dessa risker. Resultatet skall sammanstllas i en riskanalys. Varje myndighet skall vidta lmpliga tgrder fr att begrnsa risker och frebygga skador eller frluster.

27001 Organisationen skall gra fljande: - Identifiera riskerna. - Identifiera tillgngarna inom LIS:s omfattning och tillgngarnas gare. - Identifiera hoten mot dessa tillgngar. - Identifiera de srbarheter som skulle kunna utnyttjas av hoten. - Identifiera de konsekvenser som frlust av sekretess, riktighet och tillgnglighet kan ha fr tillgngarna. 27002 - 4.1 Bedmning av skerhetsrisker Riskbedmningar br identifiera, kvantifiera och prioritera risker mot kriterier fr riskacceptans och ml som r relevanta fr organisationen. Riskbedmning br innefatta ett systematiskt stt att uppskatta riskernas omfattning (riskanalys) och att jmfra de uppskattade riskerna mot riskkriterier fr att avgra riskens betydelse (riskvrdering). Riskbedmning br ocks utfras periodiskt fr att behandla frndringar av skerhetskraven och risklget, t.ex. i frga om tillgngar, hot, srbarheter, pverkan, riskvrdering och nr viktiga frndringar sker. Dessa riskbedmningar br vidtas p ett metodiskt stt som frmr ge jmfrbara och reproducerbara resultat. Bedmningen av informationsskerhetsrisker br ha en klart definierad omfattning fr att bli effektiv och br innefatta kopplingar till riskbedmning inom andra omrden dr det r lmpligt.

ISO/IEC 27001 och 27002 Ledningssystem fr informationsskerhet

OH-serie

Lagar som styr riskhantering 3 (3)Arbetsmiljlagen och arbetsmiljfrordningenArbetsgivaren skall veta vilka risker det finns i verksamheten som kan skada arbetstagarna.

Lag (2003:778) om skydd mot olyckor - Skyldigheter vid farlig verksamhet4 Vid en anlggning dr verksamheten innebr fara fr att en olycka skall orsaka allvarliga skador p mnniskor eller miljn, r anlggningens gare eller den som utvar verksamheten p anlggningen skyldig att i sklig omfattning hlla eller bekosta beredskap med personal och egendom och i vrigt vidta ndvndiga tgrder fr att hindra eller begrnsa sdana skador. Den som utvar verksamheten r skyldig att analysera riskerna fr sdana olyckor som anges i frsta stycket. Frsta och andra stycket gller ven flygplatser som har godknts enligt 6 kap. 9 frsta stycket luftfartslagen (1957:297).

Tobecomplient ornottobecomplient thatisthequestion?

OH-serie

Hotbilden

OH-serie

Hotutveckling

Source:Cisco

OH-serie

Vulerability popularized Vendor patches vulnerability

Vulnerability announced Vulnerability discoveredRisk

Users instal patch

TimeOH-serie

Srbarheter 2003

Klla:Ntverk&Kommunikation,102004OH-serie

Utveckling 2007-2008

(MessageLabs)

OH-serie

Varifrn sker angreppen?

OH-serie

Stt incidentarbetet i ett strre sammanhang

OH-serie

Klla: Leo Berntsson

OH-serie

Riskhantering och riskstyrningRiskhantering Riskstyrning Utmana och kvalitetsskra Riskhantering enligt gllande riktlinjer. Kunskap och transparens gllande vilka risker LV tar. Upprtta policys och riktlinjer fr verket. Neutrala och objektiva vrderingar.

Syfte

Identifiera, vrdera affrsrisker och besluta om tgrder.

Perspektiv

Verksamhetsdrivna beslut och bedmningar.

Nyckel funktioner

Genomfra risk analyser fr Beslutsfattande. Genomfr tgrder fr att hantera risker enligt gllande policys.

Uppfylla externa krav p RM s som frn krisberedskap, intern styrning och kontroll, etc. Aggregera, sammanstll och kvalitetsskra extern och intern risk rapportering.

Delegerat till verksamhetsomrdets chefer i enlighet med arbetsordningen.

OH-serie

IS-funktionen ansvarig fr utveckling, samordning och kontroll

Enhetlig styrning och hantering av LV:s riskerStrategiskariskerStyrelse

FinansiellariskerGD

ProjektriskerVetenskaplig kvalitetsledningStab Verksamhetsu tveckling

GDs sekretariat

Operativarisker mm.Kommunikation Informations hantering Lkemedel1 Lkemedel2 Medicinteknik ochkosmetika

OH-serie

Modell - Kontinuitetsskydd7

Hot