Informationssäkerhetsgranskning

ISO 27001 – ledningssystem för informationssäkerhet

Agenda

1. Vad gör Affärsverket Svenska kraftnät

2. Vad är informationssäkerhet

3. Vad är ett ledningssystem – lite om 27001 och 27002

4. Granskningsmetodik - min granskning - delar jag valde

1. Elens motorvägar = Svenska kraftnäts

nät

Svenska kraftnäts verksamhet

2.Vilken säkerhet?

Informationssäkerhet

IT-säkerhet

Cybersecurity

Definition på informationssäkerhet

Riktighet

Tillgänglighet

Konfidentialitet

3. Ledningssystem

Ett ledningssystem hjälper dig att få överblick

och att lättare kunna ta rätt beslut. Det

innehåller principer för hur du planerar, leder,

följer upp, utvärderar och förbättrar din

verksamhet på ett systematiskt sätt. Ofta

reglerar ISO-standarder hur ditt systematiska

arbete bör se ut.

Jmf med

miljöledningssystemet

Vilka krav ställs i förordningen?

5 § Varje myndighet ska bedriva ett systematiskt och riskbaserat

informationssäkerhetsarbete med stöd av ett ledningssystem

för informationssäkerhet. I detta arbete ska standarderna ISO/IEC

27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga

resurser ska tilldelas för informationssäkerhetsarbetet samt

löpande och regelbunden information lämnas till

myndighetsledningen.

Vilka krav ställs i förordningen? forts

6 § Ledningssystemet ska utformas utifrån verksamhetens behov

och vara styrande för all hantering av information som

myndigheten ansvarar för.

Genom ledningssystemet ska myndigheten

1. tydliggöra myndighetsledningens och den övriga

organisationens ansvar för myndighetens

informationssäkerhetsarbete,

2. tilldela nödvändiga befogenheter för de roller som arbetet med

informationssäkerhet kräver, detta gäller särskilt för den eller de

som ska utses för att leda och samordna arbetet,

3. säkerställa att informationssäkerhetsarbetet bedrivs samordnat

samt att det regelbundet utvärderas och löpande utvecklas

Strukturen för ISO 27000-serien

> SS-ISO/IEC 27000 Ledningssystem för

informationssäkerhet – Översikt och terminologi

> SS-ISO/IEC 27001 Ledningssystem för

informationssäkerhet – Krav –certifiering sker mot denna

> SS-ISO/IEC 27002 Riktlinjer för styrning av

informationssäkerhet

> SS-ISO/IEC 27003 Vägledning för införande av

ledningssystem för informationssäkerhet

Strukturen 27001 och 27002

Hur vet jag hur det ska vara?

> Läs standarden

> GAP-analys checklistor kommer snart att finnas att köpa på SIS

> MSB’s metodstöd

Organisationen ska avgöra vilka externa och interna frågor som är relevanta

för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten

med sitt ledningssystem för informationssäkerhet.

> Delar som ingår:

> Idéer om hur ledningssystemet ska struktureras

> Innehållet ska vara dokumenterat

> Innehållet ska kommuniceras

> Ledningssystemet ska kunna uppdateras/revideras

> Organisationen ska känna till sina risker och dessa ska kunna

kommuniceras.

Organisationen ska upprätta, införa, underhålla och ständigt förbättra ett

ledningssystem för informationssäkerhet, inklusive nödvändiga processer

och deras samverkan, enligt kraven i 27001.

> Delar som ska ingå:

> Ledningssystemet ska vara upprättat, underhållas och fungera under ständig

förbättring.

> Följande processer ska finnas:

> Riskhantering

> Incidenthantering

> Kontinuitetshantering

> Ledningsgenomgång

> Ändringshantering

Delar i 2007:2 eller annex 1 27001

> 1 Omfattning

> 2 Normativa hänvisningar

> 3 Termer och definitioner

> 4 Denna standards struktur

> 5 Informationssäkerhetspolicy

> 6 Organisation av informationssäkerhetsarbetet

> 7 Personalsäkerhet

> 8 Hantering av tillgångar

> 9 Styrning av åtkomst

> 10 Kryptering

> 11 Fysisk och miljörelaterad säkerhet

> 12 Driftsäkerhet

> 13 Kommunikationssäkerhet

> 14 Anskaffning, utveckling och underhåll av system

> 15 Leverantörsrelationer

> 16 Hantering av informationssäkerhetsincidenter

> 17 Informationssäkerhetsaspekter avseende hantering av verksamhetens

kontinuitet

> 18 Efterlevnad

4a.Hur kan man inrikta granskningen?

> Vad är skyddsvärd info?

> Utgå från din myndighetsverklighet om vad som är skyddsvärt

och vad de största riskerna ligger.

> Vet man något om riskerna generellt och för

organisationen?

Risker

4 b)Välja vilka delar i standarden man

granskar

> Jämföra kraven i standarden mot verkligheten

4)Vad valde jag?

Jag beaktade både ISO 27001 och 27002/annex 1 27001

1. Ledning av informationssystemet 2. Genomförande av

informationssäkerhet

1. Ledning av informationssäkerhet

> 1. Ledningssystemet samt anvisningar och regler

> 2. Ledarskap och ledningens genomgång

> 3. Riskanalyser

> 4. Efterlevnad

2Genomförande av informationssäkerhet.

> 7. Utbildning och medvetenhet

> 9.Behörighetstilldelning IFS, AD, Agresso

> 11. Fysisk åtkomst serverhall, driftcentral, fastighet

> 11. Drift och förvaltning serverhall

> 12. Loggning

> 13. IT-kommunikation

> 16. Incidenthantering

Granskningsmetodik> Intervjuer

> Besök i serverhall, backuprum mmm

> Läsa styrandedokument, processbeskrivningar, rollbeskrivningar,

lathundar

> Stickprov;

> Genomförande och uppföljning av ledningssystem, utbildning,

riskanalysarbete

> Ledning och uppföljning av rutiner för loggning och incident

> Dataanalyser mha ACL för behörigheter – jämförde mot AD, lönelista,

konsultmärkning och intranät och till slut frågor

Iakttagelser på olika nivåer

Ledningsgruppen

•Årlig rapport från ledningssystem

Samordningsgrupp

•Status för informationssäkerhet

•Informationsklassningsregler

Arbetsgrupper

•Riktlinjer för kommunikation, drift

•Behörighetstilldelningsregler

Viktigaste iakttagelser - Ledning

> Ett ledningssystem

> Ledningens engagemang

27003

Viktigaste iakttagelser - genomförande