Upload
others
View
5
Download
0
Embed Size (px)
Citation preview
Informationssäkerhetsgranskning
ISO 27001 – ledningssystem för informationssäkerhet
Agenda
1. Vad gör Affärsverket Svenska kraftnät
2. Vad är informationssäkerhet
3. Vad är ett ledningssystem – lite om 27001 och 27002
4. Granskningsmetodik - min granskning - delar jag valde
1. Elens motorvägar = Svenska kraftnäts
nät
Svenska kraftnäts verksamhet
2.Vilken säkerhet?
Informationssäkerhet
IT-säkerhet
Cybersecurity
Definition på informationssäkerhet
Riktighet
Tillgänglighet
Konfidentialitet
3. Ledningssystem
Ett ledningssystem hjälper dig att få överblick
och att lättare kunna ta rätt beslut. Det
innehåller principer för hur du planerar, leder,
följer upp, utvärderar och förbättrar din
verksamhet på ett systematiskt sätt. Ofta
reglerar ISO-standarder hur ditt systematiska
arbete bör se ut.
Jmf med
miljöledningssystemet
Vilka krav ställs i förordningen?
5 § Varje myndighet ska bedriva ett systematiskt och riskbaserat
informationssäkerhetsarbete med stöd av ett ledningssystem
för informationssäkerhet. I detta arbete ska standarderna ISO/IEC
27001:2014 och ISO/IEC 27002:2014 beaktas. Tillräckliga
resurser ska tilldelas för informationssäkerhetsarbetet samt
löpande och regelbunden information lämnas till
myndighetsledningen.
Vilka krav ställs i förordningen? forts
6 § Ledningssystemet ska utformas utifrån verksamhetens behov
och vara styrande för all hantering av information som
myndigheten ansvarar för.
Genom ledningssystemet ska myndigheten
1. tydliggöra myndighetsledningens och den övriga
organisationens ansvar för myndighetens
informationssäkerhetsarbete,
2. tilldela nödvändiga befogenheter för de roller som arbetet med
informationssäkerhet kräver, detta gäller särskilt för den eller de
som ska utses för att leda och samordna arbetet,
3. säkerställa att informationssäkerhetsarbetet bedrivs samordnat
samt att det regelbundet utvärderas och löpande utvecklas
Strukturen för ISO 27000-serien
> SS-ISO/IEC 27000 Ledningssystem för
informationssäkerhet – Översikt och terminologi
> SS-ISO/IEC 27001 Ledningssystem för
informationssäkerhet – Krav –certifiering sker mot denna
> SS-ISO/IEC 27002 Riktlinjer för styrning av
informationssäkerhet
> SS-ISO/IEC 27003 Vägledning för införande av
ledningssystem för informationssäkerhet
Strukturen 27001 och 27002
Hur vet jag hur det ska vara?
> Läs standarden
> GAP-analys checklistor kommer snart att finnas att köpa på SIS
> MSB’s metodstöd
Organisationen ska avgöra vilka externa och interna frågor som är relevanta
för dess syfte och som påverkar dess förmåga att nå de avsedda resultaten
med sitt ledningssystem för informationssäkerhet.
> Delar som ingår:
> Idéer om hur ledningssystemet ska struktureras
> Innehållet ska vara dokumenterat
> Innehållet ska kommuniceras
> Ledningssystemet ska kunna uppdateras/revideras
> Organisationen ska känna till sina risker och dessa ska kunna
kommuniceras.
Organisationen ska upprätta, införa, underhålla och ständigt förbättra ett
ledningssystem för informationssäkerhet, inklusive nödvändiga processer
och deras samverkan, enligt kraven i 27001.
> Delar som ska ingå:
> Ledningssystemet ska vara upprättat, underhållas och fungera under ständig
förbättring.
> Följande processer ska finnas:
> Riskhantering
> Incidenthantering
> Kontinuitetshantering
> Ledningsgenomgång
> Ändringshantering
Delar i 2007:2 eller annex 1 27001
> 1 Omfattning
> 2 Normativa hänvisningar
> 3 Termer och definitioner
> 4 Denna standards struktur
> 5 Informationssäkerhetspolicy
> 6 Organisation av informationssäkerhetsarbetet
> 7 Personalsäkerhet
> 8 Hantering av tillgångar
> 9 Styrning av åtkomst
> 10 Kryptering
> 11 Fysisk och miljörelaterad säkerhet
> 12 Driftsäkerhet
> 13 Kommunikationssäkerhet
> 14 Anskaffning, utveckling och underhåll av system
> 15 Leverantörsrelationer
> 16 Hantering av informationssäkerhetsincidenter
> 17 Informationssäkerhetsaspekter avseende hantering av verksamhetens
kontinuitet
> 18 Efterlevnad
4a.Hur kan man inrikta granskningen?
> Vad är skyddsvärd info?
> Utgå från din myndighetsverklighet om vad som är skyddsvärt
och vad de största riskerna ligger.
> Vet man något om riskerna generellt och för
organisationen?
Risker
4 b)Välja vilka delar i standarden man
granskar
> Jämföra kraven i standarden mot verkligheten
4)Vad valde jag?
Jag beaktade både ISO 27001 och 27002/annex 1 27001
1. Ledning av informationssystemet 2. Genomförande av
informationssäkerhet
1. Ledning av informationssäkerhet
> 1. Ledningssystemet samt anvisningar och regler
> 2. Ledarskap och ledningens genomgång
> 3. Riskanalyser
> 4. Efterlevnad
2Genomförande av informationssäkerhet.
> 7. Utbildning och medvetenhet
> 9.Behörighetstilldelning IFS, AD, Agresso
> 11. Fysisk åtkomst serverhall, driftcentral, fastighet
> 11. Drift och förvaltning serverhall
> 12. Loggning
> 13. IT-kommunikation
> 16. Incidenthantering
Granskningsmetodik> Intervjuer
> Besök i serverhall, backuprum mmm
> Läsa styrandedokument, processbeskrivningar, rollbeskrivningar,
lathundar
> Stickprov;
> Genomförande och uppföljning av ledningssystem, utbildning,
riskanalysarbete
> Ledning och uppföljning av rutiner för loggning och incident
> Dataanalyser mha ACL för behörigheter – jämförde mot AD, lönelista,
konsultmärkning och intranät och till slut frågor
Iakttagelser på olika nivåer
Ledningsgruppen
•Årlig rapport från ledningssystem
Samordningsgrupp
•Status för informationssäkerhet
•Informationsklassningsregler
Arbetsgrupper
•Riktlinjer för kommunikation, drift
•Behörighetstilldelningsregler
Viktigaste iakttagelser - Ledning
> Ett ledningssystem
> Ledningens engagemang
27003
Viktigaste iakttagelser - genomförande