Säkerhetshandboken · Kriskommunikation Hur krisen hanteras utåt speglar allmänhetens bild av organisationens förmåga att hantera kris. Ett väl utfört kommunikationsarbete

SÄKERHETSHANDBOKEN

Jimmy PerssonChef Utveckling & Sä[email protected] 640

STADSNÄTEN OCH FÖRENINGENS NÄTSÄKERHETSARBETE

Seminariepass: 8

WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN

SÄKERHETSHANDBOKENS INNEHÅLL1. Inledning

2. Grunder

3. Hot, hotbild, hotbeskrivning

4. Lagar och förordningar

5. Riskanalys

6. Säkerhetsorganisation

7. Säkerhetsskyddsarbetea) Säkerhetsanalys enligt säkerhetsskyddslagen

b) Sveriges säkerhet

c) Personal och anläggningar

8. Informationssäkerhet

9. IT-säkerhet

10. Driftsäkerhet

11. Samverkana) SiSG och NTSG

b) Säkerhetsskyddsråd

12. Referenser och hänvisningar


3. HOT, HOTBILDERHOTBESKRIVNINGAR


Omvärlden!


Relation och magnitud mellan olika säkerhetsområden

IT-säkerhet

Informationssäkerhet

Fysisk säkerhet(Driftsäkerhet)

Säkerhets-skydd


4. LAGAR OCHFÖRORDNINGAR


Sveriges nationella säkerhetsstrategi

Ny nationell informations-och cybersäkerhetsstrategi

Samhället ställer nya krav!

Grundläggande säkerhet för IoT


Samhället ställer nya krav!

Föreskrifter totalförsvarNULÄGE

1995:1

PTS föreskrifter om fredstida planering för totalförsvarets

behov av telekommunikation m.m.

(gamla ”telelagen”)

Inventering av behovsbild inkl.

rättsliga bedömning (mandat mm)

Dialog med aktörer

2019

PTS nya föreskrifter Totalförsvar

klara


Översyn av säkerhetsskyddslagen (1996:627)

- SOU 2015:25

Informationssäkerhet

• Administrativ informationssäkerhet: Till de administrativa informationssäkerhetsåtgärderna hör åtgärder som tar sikte på rutiner, arbetsflöden och arbetsledning.

• It-säkerhet: It-säkerheten innefattar såväl rutiner och handhavanden i och kring informations-system som tekniska krav på säkerhetsfunktioner i systemen och dess komponenter.

• Kommunikationssäkerhet: Kommunikationssäkerhet syftar i huvudsak till att förhindra eller försvåra avlyssning eller obehörig påverkan av information i kommunikationssystem.

Samhället ställer nya krav 2018:585 Säkerhetsskyddslag


Samhället ställer nya krav! - IoT

Grundläggande säkerhet för IoT

November 2017


Lagkraven – lag, förordning, föreskrift

Lagen om elektronisk kommunikation (2003:389) kravställer att det finns ett strukturerat och kontinuerligt informationssäkerhetsarbete för en aktör som handhar allmänt kommunikationsnät.

Det finns en Lag, förordning samt föreskrifter där det står beskrivet de krav som ställs på en nätägare gällande informationssäkerhet.

Lag (2003:389) om elektronisk kommunikation: 5 kap. 6 b § samt 6 kap. 3 §


Förordning (2003:396) om elektronisk kommunikation: 34 a §, 34 b § samt 37 §

PTSFS 2014:1 PTS föreskrifter om allmänna råd om skyddsåtgärder för behandlade uppgifter: 3 §

Lagkraven – lag, förordning, föreskrift


7. SÄKERHETS-SKYDDSARBETE


• Skydd mot brott som kan hota Sveriges säkerhet• Skydd av hemliga uppgifter som rör rikets säkerhet• Skydd mot terrorism och sabotage• Säkerhetsklassning av personal och anläggningar • Säkerhetsklassad NOC• Säkerhetsklassade upphandling för kritisk infrastruktur• Beredskap för att möta civilt försvar• Säkerhetsklassificering av dokument och handlingar• Sekretesshantering av information

Säkerhetsskydd & sekretess


Öppna källor


1 april 2019ny

SäkerhetsskyddslagSäkerhetsskyddslag (2018:585): https://lagen.nu/2018:585Säkerhetsskyddsförordning (2018:658): https://lagen.nu/2018:658


SÄKERHETSSKYDD

Informationssäkerhet Fysisk säkerhet Personalsäkerhet

Säkerhetsprövning

Säkerhetsklass 1 Säkerhetsklass 2 Säkerhetsklass 3

Säkerhetsskyddsavtal

Kvalificerat hemlig vid en synnerligen allvarlig skada

Hemlig vid en allvarlig skada

Konfidentiell vid en inte obetydlig skada

Begränsad hemlig vid endast ringa skada

Skyddslagen (2010:305) (Inte en rak koppling men kan påverka)

Säkerhetsskyddsklassificering

Säkerhetsskyddsklassificerade uppgifter

Säkerhetskänslig verksamhet

Säkerhetsskyddslag (2018:585)Skyldigheter för den som bedriver säkerhetskänslig

verksamhet

Säkerhetsskyddsanalys(Utreda behovet av säkerhetsskydd

samt dokumentera det)

Planera och vidta de säkerhets-Skyddsåtgärder som behövs medhänsyn till verksamhetens art ochomfattning, förekomst av säkerhets-klassificerade uppgifter och övriga omständigheter.

Kontrollera säkerhetsskyddet i den egnaverksamheten, anmäla och rapporterasådant som är av vikt för säkerhets-skyddet och i övrigt vidta de åtgärder somkrävs.

Så långt det är möjligt ska säkerhets-skyddsåtgärderna utformas så att deinte medför någon skada eller annanolägenhet för andra allmänna ellerenskilda intressen.

1) Det i upphandlingen förekommersäkerhetsskyddsklassificerade upp-gifter i säkerhetsklassen konfidentiell eller högre, eller2) Upphandlingen i övrigt avser ellerger leverantören tillgång till säkerhets-känslig verksamhet av motsvarandebetydelse för Sveriges säkerhet.

Åtgärder till förstärkt skydd för byggnader,andra anläggningar, områden och andraobjekt mot sabotage, terroristbrott, spionerisamt röjande i andra fall av hemliga uppgiftersom rör totalförsvaret och grovt rån.

Uppgifter ska delas in i säkerhetsskyddsklasserutifrån den skada som ett röjande av uppgiftenkan medföra för Sveriges säkerhet.

Motsvarande om de omfattas av ett internationelltåtagande om de inte redan har klassificerats.Utifrån skada som ett röjande av uppgiften kan medföraför Sveriges förhållande till skadan.

Uppgifter som rör säkerhetskänslig verksamhet ochsom därför omfattas av sekretess enligt offentlighets-och sekretesslagen (2009:400) eller som skulle haomfattas av sekretess enligt lagen, om den hade varittillämplig.

Verksamhet som är av betydelse för Sveriges Säkerhet eller omfattas av ett för Sverige för-pliktande internationellt åtagande om säkerhets-skydd.

1) I en omfattning som inte är ringa får del av uppgifter i säkerhetsskydds-klassen kvalificerat hemlig, eller

2) till följd av sitt deltagande i verk-samheten har möjlighet att orsakasynnerligen allvarlig skada förSveriges säkerhet.

1) I en omfattning som inte är ringa får del av uppgifter i säkerhetsskydds-klassen hemlig,

2) I ringa omfattning får ta del av uppgifter i säkerhetsskyddsklassenkvalificerat hemlig, eller

3) till följd av sitt deltagande i verk-samhet har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.

1) Får del av uppgifter i säkerhetsskyddsklassen konfidentiell,

2) I ringa omfattning får ta del av uppgifter i säkerhetsskyddsklassenhemlig, eller

3) till följd av sitt deltagande i verk-samhet har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.

1) Förebygga att säkerhetsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs

2) Förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.

1) Förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskydds-klassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs.

2) Förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1

1) Förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig.

2) Säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.

Skydd av säkerhetskänslig verksamhet mot spioneri,sabotage, terroristbrott och andra brott som kan hotaverksamheten samt skydd i andra fall av säkerhetsskydds-klassificerade uppgifter.

Grundläggande förståelse


Har betydelse för Sveriges säkerhet enligt ny säkerhetsskyddsreglering

Yttre säkerhet Inre säkerhet

Hantering av säkerhetsskyddsklassificerade

uppgifter

Sveriges säkerhetGår det att definiera? Eller är det en subjektiv tolkning?

Hantering av stora mängder information som inte är säkerhetsklassificerad, men som av

andra skäl kan betraktas som säkerhetskänslig

Territoriellsuveränitet

Nationelltförsvarsförmåga

Politisk självständighet (Sveriges oberoende och handlingsfrihet)

Sveriges statsidé avseende funktion, handlingsfrihet och oberoende

Sveriges ekonomi och betalningsförmåga

Försvarsmakten- Kunna försvara Sverige- Främja Svensk säkerhet- Upptäcka och avvisa

kränkningar av det svenska territoriet

- Värna om Sveriges suveräna rättigheter och nationella intressen.

T.ex. inom Försvarsindustrin och verksamheter som bedriver:- Forskning- Utveckling- Produktion av försvarsmateriel

Säkerhetspolisen upprätthålla förmågan att förebygga och avvärja brott enligt framför allt spionerilagstiftningen 19 kap. brottsbalken

T.ex. inom Försvarsindustrin och verksamheter som bedriver:- Forskning- Utveckling- Produktion av försvarsmateriel

Torde kräva en kritisk massa av uppgifter. Avgöras från fall till fall baserat på:- Typ av uppgift- Typ av verksamhet- Konsekvens av röjande

Sveriges demokratiska

statsskick

Rättsväsende och brotts-

bekämpande förmåga

Särskilt kritiska- Anläggningar- Funktioner-Informationssystem

Samhällsviktig verksamhet finns ofta inom sektorerna:- Energiförsörjning och särskilt elförsörjning- Elektroniska kommunikationer- Livsmedelsförsörjning- Vattenförsörjning- Transporter- Finansiella tjänster

Skadegenererande verksamhet t. ex.- Kärnteknisk verksamhet- Dammar- Mikrobiologiska labb

Om en antagonistisk handling (spioneri, sabotage eller terroristbrott) medför skadekonsekvenser på nationell nivå. T.exstörningar i eller bortfall av:- Leveranser- Tjänster- Funktioner

Om en antagonistisk handling (spioneri, sabotage eller terroristbrott) medför skadekonsekvenser på nationell nivå. t.ex- Många människor förväntas dö eller skadas- kan få allvarlig påverkan på annan samhälls-viktig verksamhet ur ett nationellt perspektiv.

Driftleverantörer som levererar tjänster (gäller för alla perspektiv)


8. INFORMATIONS-SÄKERHET


• Om medarbetare förvarar och hanterar känslig information i osäkra mobiltelefoner eller datorer

• Om de hanterar känslig information på privata mailkonton eller i inte godkända molntjänster som inte har tillräckligt starkt skydd

• Om lösenord hanteras ovarsamt och till exempel användare luras att avslöja dem för obehöriga i telefon eller har skrivit upp dem på osäkra ställen.

• Access till register och system utan att veta vem (loggar)

• Social engineering – Påverka medarbetare att lämna utinformation med eller utan vetskap om detta.

Informationssäkehet


Gemensamt InformationssäkerhetVid samarbeten där information delas mellan varandra manuellt men särskilt i system så är det vikitgt att vara överens om vad som ska delas och hur informationen får sprida. Några saker är:

• skriva under en sekretessförbindelse• Acceptera gemensamma informationsdelningsregler• acceptera villkor för hantering av bearbetad information

• Varje organisation har en utpekad ansvarig för säkerhet

Exempel på InformationsnivåerAll information inom samarbetet hanterar klassificeras in i tre informationsnivåer. Grön, Gul eller Röd.

GRÖNInformationen får, efter godkännande i samarbetet, spridas till andra relevanta företag och organisationer som arbetar för att stärka samhällets säkerhet men får inte publiceras eller göras allmänt tillgänglig.

GULInformationen får spridas men bara till medlemmar i forumet, samt till de personer inom den egna organisationen (anställda, konsulter eller entreprenörer som arbetar i organisationen) som är beroende av informationen för att kunna agera. Varje medlemsorganisation ansvarar själva för att informationen hanteras korrekt inom den egna organisationenoch av eventuella underleverantörer.

RÖDInformationen får inte spridas och begränsas enbart till de individer som är närvarande vid mötet. Representanter får inte sprida informationen utanför SiSG. (Efter tillåtelse från sittande möte kan informationen i undantagsfall få delges till en intenärvarande fast medlem av samarbetet)


9. IT-SÄKERHET


• Nätets aktiva delar. En riskanalys kring skyddet för att utesluta ett för svagt skydd • Kryptering och signering vid kommunikation med e-post och andra kanaler• Kryptering på datorer, mobiler, USB-minnen och andra enheter• Autentiseringen som inte är för svag• Inloggning på aktiv utrustning ex, switch, routers sker med personlig inloggning• Lösningar för att förhindra logiska hot• Uppdaterade system och lösningar används. Ex. DNSSEC, IPv6

IT-Säkerhet


10. DRIFT-SÄKERHETi världsklass är en överlevnadsfråga


2018-10-0425

Fysisk säkerhetFelmonteradkanalisation


Fysisk säkerhet - osäkra brunnar


Fysisk säkerhet – inte fullgjord installation


Fysisk säkerhet - broinstallation


Fysisk säkerhet – felmonterad markskåp


11. SAMVERKAN


KRISHANTERINGDET EGNA OCHTILLSAMMANS


2018-10-0432

Krishantering: SiSG-portalen

KartanLägesbild

HändelseloggHändelseinfo, beslut,

action och kommentarer

LägesrapportFör att samla

information om en pågående händelse

Beskrivning

Spridning

Planerade/vidtagna åtgärder

Behov av samverkan

KonferensVårt sätt att mötas på

Adobe connect

NyheterSSNf lägger upp

infosäk från branschen

DokumentÄr finns manualer,

policys, presentationer m.m.

Samtliga medlemmar i SiSG kan kalla in

resterande till möte ifall något händer

ForumAlla kan skapa en

diskussionstråd om ett ämne

Akutell kontaktlista till samtliga SiSG-

medlemmarOBS: Uppdatera vid

behov er info! NTSGNationella

Telesamverkans-gruppen


Kriskommunikation

▪ Hur krisen hanteras utåt speglar allmänhetens bild av organisationens förmåga att hantera kris.

▪ Ett väl utfört kommunikationsarbete vid händelse av kris avlastar övriga i organisationen.

▪ Kommunikation måste vara en naturlig del vid krisövning och krisförberedande aktiviteter.

▪ Dåligt genomfört kommunikationsarbete kan förvärra och förstora även en liten kris.


FÖRENINGENSSÄKERHETSSKYDDSRÅDETABLERAS!


UTBILDNINGOCH

STÖD


Utbildning och stöd- UTBILDNINGAR

- Säkerhethetsanalys- Säkerklassning av personal och anläggning- Säkerhethetsskyddschef- SiSG- Kriskommunikation

- WEBINAR- Säkerhethandboken- SiSG

- RAMAVTALSLEVERANTÖRER- Inom konsultation- Inom utbildning- Inom produkter

- STADSNÄTSFÖRENINGENS KANSLI- Säkerhetsresurs för rådgivning- Presentationer- Material

2018-10-0436


SÄKERHETSHANDBOKENS INNEHÅLL1. Inledning

2. Grunder

3. Hot, hotbild, hotbeskrivning

4. Lagar och förordningar

5. Riskanalys

6. Säkerhetsorganisation

7. Säkerhetsskyddsarbetea) Säkerhetsanalys enligt säkerhetsskyddslagen

b) Sveriges säkerhet

c) Personal och anläggningar

8. Informationssäkerhet

9. IT-säkerhet

10. Driftsäkerhet

11. Samverkana) SiSG och NTSG

b) Säkerhetsskyddsråd

12. Referenser och hänvisningar


Tack så mycket för mig. Frågor?

Jimmy PerssonChef Utveckling & Sä[email protected] 640

Documents

Säkerhetshandboken · Kriskommunikation Hur krisen hanteras utåt speglar allmänhetens bild av organisationens förmåga att hantera kris. Ett väl utfört kommunikationsarbete