INFORMATIONSSĂ„KERHET PER OSC ARSON
Kopieringsförbud Detta verk Àr skyddat av upphovsrÀttslagen. Kopiering, utöver lÀrares och studenters begrÀnsade rÀtt att kopiera för undervisningsÀndamÄl enligt Bonus Copyright Access kopieringsavtal, Àr förbjuden. För information om avtalet hÀnvisas till utbildningsanordnarens huvudman eller Bonus Copyright Access. Vid utgivning av detta verk som e-bok, Àr e-boken kopieringsskyddad. Den som bryter mot lagen om upphovsrÀtt kan Ätalas av allmÀn Äklagare och dömas till böter eller fÀngelse i upp till tvÄ Är samt bli skyldig att erlÀgga ersÀttning till upphovsman eller rÀttsinnehavare. Studentlitteratur har bÄde digital och traditionell bokutgivning. Studentlitteraturs trycksaker Àr miljöanpassade, bÄde nÀr det gÀller papper och tryckprocess.
Art.nr 39697 ISBN 978-91-44-12110-9 Upplaga 1:1 ©âFörfattaren och Studentlitteratur 2019 studentlitteratur.se Studentlitteratur AB, Lund
Sakgranskning: John Lindström, Lothar Fritsch, Anne-Marie Eklund-Löwinder Formgivning inlaga: Karl Stefan Andersson Omslagslayout: Francisco Ortega Omslagsbild: Martine Castoriano Författarfoto: Lasse Persson Printed by Interak, Poland 2019
InnehÄll
Introduktion till bokenâ9 1 FörutsĂ€ttningar och grundlĂ€ggande begreppâ13 InformationssĂ€kerhet â en överblickâ13 SamhĂ€llets behov av informationssĂ€kerhetâ20 Författningarâ34 Organisationens nytta av informationssĂ€kerhetâ47 SĂ€kerhet och riskâ53 InformationssĂ€kerhet, IT-sĂ€kerhet och cybersĂ€kerhetâ58 Skyddsobjektet: informationstillgĂ„ngarâ63 Konfidentialitet, riktighet och tillgĂ€nglighet â KRTâ68 2 Hotâ75 InformationssĂ€kerhetsrelaterade hotâ75 Typer av informationssĂ€kerhetshotâ77 Oavsiktliga hotâ80 Antagonistiska hotâ82 Aktörer och syftenâ94 Marknader för IT-brottâ99 Hotbilderâ100
©âFörfattaren och Studentlitteratur
5
3 SĂ€kerhetsĂ„tgĂ€rderâ105 Begreppet sĂ€kerhetsĂ„tgĂ€rdâ105 Typer av sĂ€kerhetsĂ„tgĂ€rderâ106 Standarder och ramverkâ118 Ă tkomster och behörigheterâ126 PersonalsĂ€kerhetâ135 Krypteringâ139 NĂ€tverkssĂ€kerhetâ152 SĂ€kerhet i IT-systemâ158 SĂ€kerhet i IT-miljön (driftsĂ€kerhet)â163 Fysisk informationssĂ€kerhetâ171 4 Styrning av informationssĂ€kerhetâ179 Systematiskt informationssĂ€kerhetsarbeteâ179 Standardserien SS-EN ISO/IEC 27000â185 Analys av organisationens behovâ188 Prioritering och lönsamhetâ201 MĂ„l med informationssĂ€kerhetâ211 Ansvar, roller och organisationâ215 Styrdokument för informationssĂ€kerhetâ223 Informationsklassningâ230 Verksamhetsdriven informationssĂ€kerhetâ241 Incidenthanteringâ244 Kontinuitetshanteringâ248 Uppföljning av informationssĂ€kerhetâ254 Externa leverantörerâ259 InformationssĂ€kerhet i smĂ„ organisationerâ265 5 SĂ€kerhetsmedvetandeâ269 MĂ€nniskan och informationssĂ€kerhetâ269 Medvetenhet, beteende och kulturâ274 Regelefterlevnadâ280 Att skapa engagemang och motivation i organisationenâ286 Ledningens medvetenhet och engagemangâ290 Olika rollers kunskapsbehovâ294
6
©âFörfattaren och Studentlitteratur
Ă tgĂ€rder för att öka och upprĂ€tthĂ„lla sĂ€kerhetsmedvetandetâ299 Program för sĂ€kerhetsmedvetandeâ306 MĂ€tning och uppföljningâ309 6 Stöd och tipsâ315 Resurser i samhĂ€lletâ315 Kompetensutvecklingâ325 Tio tips till CISOâ328 InformationssĂ€kerhet i framtidenâ334 KĂ€llorâ341 Sakregisterâ353
©âFörfattaren och Studentlitteratur
7
4âStyrning av informationssĂ€kerhet Det hĂ€r kapitlet handlar om hur man arbetar med informations sĂ€kerhet i organisationer. För att vĂ€lja och införa rĂ€tt sĂ€kerhets ÄtgĂ€rder behöver man förstĂ„ och möta interna och externa krav och den aktuella och framtida hotbilden. För detta krĂ€vs ett strukturerat arbete som ofta benĂ€mns som systematiskt informationssĂ€kerhets arbete eller ledningssystem för informationssĂ€kerhet.
Systematiskt informationssĂ€kerhetsarbete I de tvĂ„ första kapitlen har utmaningar med informationssĂ€kerhet, inkluderande IT- och cybersĂ€kerhet, beskrivits i form av behov, krav och hot. Kapitel 3 gick sedan igenom olika typer av sĂ€kerhetsĂ„tgĂ€rder som syftar till att möta dessa behov, krav och hot. Det hĂ€r kapitlet beskriver hur organisationer systematiskt kan arbeta med informationssĂ€kerhet i syfte att över tid vĂ€lja, införa och förvalta sĂ€kerhetsĂ„tgĂ€rder som motsvarar organisationens behov, krav och hotbild. Kapitlet beskriver ett antal komponenter som behövs vid styrning av informationssĂ€kerhet. RĂ€tt utformade och utförda bildar dessa tillsammans ett strukturerat arbete med informationsÂsĂ€kerhet, det som brukar benĂ€mnas ett systematiskt informationssĂ€kerhetsarbete eller ledningssystem för informationsÂsĂ€kerhet (LIS). I detta
©âFörfattaren och Studentlitteratur
179
4âStyrning av informationssĂ€kerhet avsnitt beskrivs vad detta arbete innebĂ€r och i nĂ€sta avsnitt beskrivs den mest centrala standarden för detta: SS-EN ISO/IEC 27001. Systematiskt sĂ€kerhetsarbete Ă€r en samlingsterm för organisationers systematiska arbete med all form av sĂ€kerhet, och innefattar vid sidan av informationssĂ€kerhet Ă€ven arbetsmiljöÂarbete, brandskyddsarbete och kontinuitetshantering. ArbetssĂ€ttet liknar arbetsformen som anvĂ€nds inom kvalitetsledningssystem, dvs. att man identifierar, organiserar, dokumenterar, kontrollerar och följer upp ett arbete inom ett identifierat omrĂ„de. PĂ„ MSB:s webbplats informationssĂ€kerhet.se finns ett metodstöd för att skapa och driva ett systematiskt informations sĂ€kerhetsarbete. Vissa delar i det hĂ€r kapitlet tangerar delar av metodstödet, men boken Ă€r mer beskrivande och inte en metod pĂ„ samma sĂ€tt som materialet pĂ„ webbplatsen som ocksĂ„ innehĂ„ller en del enklare verktyg. NĂ€r sĂ„ Ă€r behövligt ges referenser till metodÂstödet, t.ex. vid hĂ€nvisning till verktyg eller i de fall det förekommer avvikelser mot metodstödet. SY F T EN M ED ET T SY ST E M AT ISK T I N FOR M AT IONSSĂ K ER H ETSA R BET E
InformationssÀkerhet behöver styras pÄ ett strukturerat och systematiskt sÀtt, precis som andra delar i en organisation som t.ex. ekonomi eller personaladministration. I likhet med andra omrÄden Àr det viktigt att klargöra ansvar och roller, att ha tydliga mÄl och budgetramar, att ha tydliga styrdokument, att följa upp aktiviteter osv. Det som ytterligare motiverar ett systematiskt informationssÀkerhetsarbete och som skiljer sig frÄn de flesta andra omrÄden Àr den snabba förÀndringen och komplexiteten. Som vi sett i tidigare kapitel ökar digitaliseringen av samhÀllet i snabb takt med nya tekniker och tillÀmpningsomrÄden. Mörka krafter anvÀnder ocksÄ internet och aktörerna bakom hoten Àr mÄngfacetterade och satsar mÀngder med resurser. InformationssÀkerhetsrelaterade hot Àr i kontinuerlig förÀndring, det uppkommer stÀndigt nya attackmetoder och skadlig kod och det framkommer hela tiden
180
©âFörfattaren och Studentlitteratur
4âStyrning av informationssĂ€kerhet nya sĂ„rbarheter. Ăven de rĂ€ttsliga krav som pĂ„verkar informationssĂ€kerhet förĂ€ndras och det uppkommer nya lagar, förordningar och föreskrifter. Dessutom förĂ€ndras alla organisationer mer eller mindre i sig sjĂ€lvt. Det sker omsĂ€ttning av personal, man omorganiserar, anskaffar ny teknik osv. De flesta organisationer befinner sig pĂ„ nĂ„gon slags förĂ€ndringsresa i samband med den pĂ„gĂ„ende digitaliseringen. Den organisation som antingen Ă€r helt âfĂ€rdigutveckladâ med digitalisering eller som vĂ€ljer att helt stĂ„ utanför digitaliseringen finns helt enkelt inte. För att nĂ„ en tillrĂ€ckligt bra informationssĂ€kerhet i en organisation mĂ„ste alltsĂ„ arbetet med informationssĂ€kerhet vara dynamiskt och anpassa sig efter förĂ€ndringarna. Det rĂ€cker inte att införa ett antal sĂ€kerhetsĂ„tgĂ€rder och sedan slĂ„ sig till ro och tro att detta rĂ€cker, utan det behövs ett systematiskt arbetssĂ€tt som över tid analyserar och anpassar informationssĂ€kerheten efter de externa förutsĂ€ttningarna, de interna förutsĂ€ttningarna och hotbilden (se figur 4.1). Hot kan vara bĂ„de interna och externa och kan Ă€ven relateras till sĂ„rbarheter, dvs. avsaknad av skydd eller brister i det befintliga skyddet. Hot avbildas dĂ€rför i figur 4.1 som ett bakomliggande moln som tĂ€cker sĂ„vĂ€l interna och externa förutsĂ€ttningar som sĂ€kerhetsĂ„tgĂ€rder.
Externa förutsÀttningar StÀndig anpassning och förbÀttring Hot
SÀkerhetsÄtgÀrder StÀndig anpassning och förbÀttring Interna förutsÀttningar
Figur 4.1âSyfte med styrning av informationssĂ€kerhet.
©âFörfattaren och Studentlitteratur
181
4âStyrning av informationssĂ€kerhet Ledningssystem för informationssĂ€kerhet (LIS) Ă€r ett etablerat begrepp för ett systematiskt arbete med informationssĂ€kerhet. Ett LIS innebĂ€r en metodik som syftar till att upprĂ€tta, införa, driva, övervaka, granska, underhĂ„lla och förbĂ€ttra organisationens informationssĂ€kerhet. Ett LIS avser inte ett IT-baserat system, men IT-baserade verktyg kan anvĂ€ndas för att stödja delar av ett LIS. ST Y R N I NGENS GRU N DER
Att styra informationssÀkerhet i en organisation bestÄr i korthet av fyra grundkomponenter, eller huvudaktiviteter: behovsanalys, reglering, stöd och uppföljning (se figur 4.2). I olika metoder och ramverk kan dessa fyra grundkomponenter ta sig olika uttryck, benÀmnas pÄ olika sÀtt och vara uppdelade i flera delkomponenter. Metodstödet pÄ informationssÀkerhet.se bestÄr av fyra komponenter som benÀmns Identifiera & analysera, Utforma, AnvÀnda och Följa upp & förbÀttra. För att nÄ ett systematiskt arbetssÀtt som förbÀttrar informationssÀkerheten och anpassar den till förÀndringar över tid behöver de fyra komponenterna eller huvudaktiviteterna bilda en cyklisk process. Den sista komponenten ska leda till förbÀttringar och behovsanalysen ska göras Äterkommande för att anpassa regleringen och stödet till nya förutsÀttningar i omvÀrlden eller i den egna organisationen.
Behovsanalys
Reglering
Analyser, t.ex.: ⹠Verksamhet ⹠OmvÀrld ⹠Hot/risk ⹠Gap ⹠Kostnad-nytta
Styrdokument, t.ex.: âą Policyer âą Riktlinjer âą Instruktioner
Stöd Material och insatser, t.ex.: ⹠Metoder ⹠VÀgledningar ⹠Utbildningar ⹠Deltagande
Uppföljning Kontroll av e erlevnad, t.ex.: ⹠Granskningar ⹠Revisioner ⹠Tester
Figur 4.2âGrundkomponenter vid styrning av informationssĂ€kerhet.
182
©âFörfattaren och Studentlitteratur
4âStyrning av informationssĂ€kerhet Behovsanalys Analyser av olika slag ger organisationens behov av informationssĂ€kerhet och Ă€r grunden till hur man bör arbeta med informationssĂ€kerhet och vilka sĂ€kerhetsĂ„tgĂ€rder som ska införas. Detta beskrivs nedan i avsnittet âAnalys av organisationens behovâ. Behoven som man kommer fram till Ă€r inte alltid identiska med vad man sedan vĂ€ljer att införa. ArbetssĂ€tt och sĂ€kerhetsĂ„tgĂ€rder Ă€r ofta förknippade med kostnader och investeringar. Ofta behöver avvĂ€gningar göras mellan kostnader och nytta, och alla aktiviteter kan sĂ€llan göras direkt utan mĂ„ste prioriteras i tid. Detta tas upp i avsnittet âPrioritering och lönsamhetâ. Reglering NĂ€r man faststĂ€llt behovet av informationssĂ€kerhet och prioriterat vilka aktiviteter som ska genomföras ska man, ofta formellt, reglera detta i organisationen. Detta sker genom styrdokument som Ă€r formella och beslutade, som t.ex. policyer, riktlinjer och instruktioner (se avsnittet âStyrdokument för informationssĂ€kerhetâ). Styrdokumenten kan innefatta hur det systematiska arbetet ska gĂ„ till, ansvar och organisation, vilka modeller som kan anvĂ€ndas, och framförallt vilka sĂ€kerhetsĂ„tgĂ€rder som ska finnas och vilka regler som gĂ€ller för olika roller i organisationen. Regleringar kan baseras pĂ„ etablerade ramverk och standarder men bör anpassas till den egna organisationen. Stöd Olika grupperingar och roller i en organisation ska genomföra och efterleva det som regleras. För att kunna efterleva regleringar behövs i allmĂ€nhet alltid stöd i olika former. Det kan vara skriftliga vĂ€gledningar, metoder och handböcker eller olika former av utbildningar. Ju mer resurser man lĂ€gger pĂ„ stöd, desto bĂ€ttre efterlevnad kan man nĂ„ och dĂ€rmed verkan och effekt med informationssĂ€kerhetsarbetet. Syftet med stöd Ă€r emellertid inte bara att konkret visa hur man efterlever regleringar, utan kan ocksĂ„ vara att sprida inspiration och engagemang kring
©âFörfattaren och Studentlitteratur
183
4âStyrning av informationssĂ€kerhet informationssĂ€kerhetsfrĂ„gor. LĂ€s mer om utbildning, stöd och engagemang i kapitel 5. Uppföljning Det sista steget innebĂ€r att man kontrollerar efterlevnaden av regleringarna. Det kan göras pĂ„ en mĂ€ngd olika sĂ€tt, t.ex. genom stĂ€ndig bevakning/monitorering, tester, observationer, enkĂ€ter, mĂ€tningar, revisioner och granskningar. LĂ€s mer i avsnittet âUppföljning av informationssĂ€kerhetâ. I N T EGR AT ION I ORGA N ISAT ION EN
Styrning av informationssĂ€kerheten mĂ„ste anpassas till hur organisationen styrs generellt. Alla organisationer har nĂ„gon form av styrmodell, som dock kan vara mer eller mindre formell och dokumenterad. Men beslut fattas nĂ„gonstans och resurser fördelas oavsett vilket. I de flesta organisationer finns en Ă„rlig cykel dĂ€r verksamheter planeras och budgeteras och sedan följs upp pĂ„ ett formellt sĂ€tt. Det Ă€r en mycket bra idĂ© att skapa ett informationssĂ€kerhetsarbete som knyter an till sĂ„dana generella styrmodeller och processer i organisationen. InformationssĂ€kerhetsarbetet kan vara tĂ€tt integrerat med andra nĂ€rliggande omrĂ„den, som t.ex. styrning av kvalitet, risk eller generell sĂ€kerhet. Det finns exempel pĂ„ organisationer som med framgĂ„ng har skapat ett generellt sĂ€kerhetsledningssystem, dĂ€r man i ett LIS förutom informationssĂ€kerhet Ă€ven har lagt in andra sĂ€kerhetsomrĂ„den som t.ex. brandsĂ€kerhet och person sĂ€kerhet. MĂ„nga organisationer arbetar utifrĂ„n modeller för intern styrning och kontroll, och det kan vara lĂ€mpligt att utnyttja detta Ă€ven för styrningen av informationssĂ€kerhet. Om organisationen har ett ledningssystem enligt en annan ISO-standard, t.ex. för kvalitet, miljö eller kontinuitetshantering, kan det vara en god idĂ© att integrera dessa system eftersom de sedan en tid tillbaka Ă€r uppbyggda utifrĂ„n samma grundstruktur. De delar av det syÂstematiska informationssĂ€kerhetsarbetet som berör IT kan med fördel knyta an till modeller för IT-styrning, som Cobit, ITIL och pm3. Det
184
©âFörfattaren och Studentlitteratur
4âStyrning av informationssĂ€kerhet finns organisationer som framgĂ„ngsrikt har hanterat sitt LIS som ett förvaltningsobjekt enligt pm3, och dĂ€rigenom skapat ett strukturerat arbetssĂ€tt pĂ„ Ă„rsbasis med förbĂ€ttringsĂ„tgĂ€rder i förvaltningsplaner osv. Vilken strategi man vĂ€ljer för styrning av informationssĂ€kerhet beror mycket pĂ„ hur organisationen ser ut, nĂ„got som en analys av den egna organisationen bör ge svar pĂ„.
Standardserien SS-EN ISO/IEC 27000 Det i Sverige och internationellt dominerande angreppssĂ€ttet för att skapa ett ledningssystem för informationssĂ€kerhet (LIS) utgĂ„r frĂ„n standardserien SS-EN ISO/IEC 27000. Standardserien innefattar en stor mĂ€ngd standarder, men tvĂ„ standarder kan sĂ€gas utgöra seriens huvudstandarder: âą SS-EN ISO/IEC 27001 â Informationsteknik â SĂ€kerhetstekni ker â Ledningssystem för informationssĂ€kerhet â krav. Denna standard stĂ€ller som namnet antyder krav pĂ„ ett LIS, dvs. vad det ska innefatta. I standardens Bilaga A finns ett antal sĂ€kerhetsĂ„tgĂ€rder som tjĂ€nar som utgĂ„ngspunkt för vilka sĂ€kerhetsĂ„tgĂ€rder som ska finnas. âą SS-EN ISO/IEC 27002 â Informationsteknik â SĂ€kerhetstek niker âRiktlinjer för informationssĂ€kerhetsĂ„tgĂ€rder. Denna standard ger vĂ€gledning för införande av sĂ€kerhetsĂ„tgĂ€rderna i föregĂ„ende standards Bilaga A. Standardserien anvĂ€nds i olika grad av mĂ„nga organisationer i Sverige. Sedan 2009 Ă€r det i MSB:s föreskrifter tvingande för statliga myndigheter att bedriva ett systematiskt och riskbaserat informationssĂ€kerhetsarbete med stöd av ett ledningssystem för informationssĂ€kerhet. I det arbetet ska de bĂ„da huvudstandarderna ovan beaktas, enligt MSB föreskrift MSBFS 2016:1. Att standardserien Ă€r sĂ„ etablerad och spridd innebĂ€r fördelar. Förutom att man tar
©âFörfattaren och Studentlitteratur
185
4âStyrning av informationssĂ€kerhet tillvara samlade kunskaper och erfarenheter frĂ„n hela vĂ€rlden sĂ„ anvĂ€nder man ett gemensamt ramverk och en gemensam terminologi som underlĂ€ttar vid kommunikation och samverkan med andra aktörer, vid utbildning, revisioner, upphandlingar m.m. Standarderna i serien utgĂ„r frĂ„n ett verksamhetsdrivet och riskorienterat arbete med informationssĂ€kerhet, i motsats till ett teknikdrivet. UtgĂ„ngspunkten Ă€r att det Ă€r information som ska skyddas, utifrĂ„n de tre aspekterna konfidentialitet, riktighet och tillgĂ€nglighet, medan IT Ă€r resurser som anvĂ€nds för att hantera informationen. I kapitel 3 presenterades standarden SS-EN ISO/IEC 27002 som innehĂ„ller ett antal sĂ€kerhetsĂ„tgĂ€rder och vĂ€gledningar för att införa dessa. Samma sĂ€kerhetsĂ„tgĂ€rder Ă„terfinns i en bilaga (Bilaga A) i SS-ISO/IEC 27001 (se figur 4.3). SĂ€kerhetsĂ„tgĂ€rderna i de bĂ„da standarderna utgör s.k. best prac tice. Experter frĂ„n hela vĂ€rlden har vid utvecklingen av standarderna kommit fram till och enats om att dessa sĂ€kerhetsĂ„tgĂ€rder bör utgöra utgĂ„ngspunkten vid bedömning av vilka sĂ€kerhetsĂ„tgĂ€rder en organisation behöver. Ytterligare sĂ€kerhetsĂ„tgĂ€rder kan lĂ€ggas till, och det kan finnas skĂ€l till att vĂ€lja bort sĂ€kerhetsĂ„tgĂ€rder ur standarden, men dĂ„ ska ocksĂ„ detta kunna motiveras; man kan sĂ€ga att det rĂ„der en omvĂ€nd bevisbörda. De sĂ€kerhetsĂ„tgĂ€rder som av organisationen anses nödvĂ€ndiga att inkludera respektive exkludera ska sammanstĂ€llas med motiveringar i ett s.k. uttalande om tillĂ€mplighet (Statement of Applicability, SoA).
SS-EN ISO/IEC 27001 Krav pÄ ledningssystem för informationssÀkerhet Bilaga A: SÀkerhetsÄtgÀrder
SS-EN ISO/IEC 27002
VÀgledning för införande av sÀkerhetsÄtgÀrder
Figur 4.3âSS-EN ISO/IEC 27001 och SS-EN ISO/IEC 27002.
186
©âFörfattaren och Studentlitteratur
4âStyrning av informationssĂ€kerhet SS-EN ISO/I EC 27001
De huvudsakliga komponenterna i SS-EN ISO/IEC 27001 Ă€r: âą Organisationens förutsĂ€ttningar. Att förstĂ„ organisationen och dess förutsĂ€ttningar, intressenters behov och förvĂ€ntningar, ledningssystemets omfattning m.m. âą Ledarskap. Att skapa ledarskap och engagemang, informationssĂ€kerhetspolicy, och att definiera befattningar, ansvar och befogenheter inom organisationen. âą Planering. Att vidta Ă„tgĂ€rder för att hantera risker och möjligheter, att skapa informationssĂ€kerhetsmĂ„l och att planera för att uppnĂ„ dessa. âą Stöd. Att ge förutsĂ€ttningar för resurser, kompetens, medvetenhet, kommunikation och dokumenterad information. âą Verksamhet. Att planera och styra verksamheten, att bedöma och behandla löpande informations sĂ€kerhetsrisker. âą UtvĂ€rdering av prestanda. Att övervaka, mĂ€ta, analysera och utvĂ€rdera informationssĂ€kerhetsarbetet och att genomföra ledningens genomgĂ„ng. âą FörbĂ€ttringar. Att hantera avvikelser och genomföra korrigerande Ă„tgĂ€rder för att nĂ„ stĂ€ndig förbĂ€ttring. Ăven om delarna i standarden Ă€r fler till antalet kan de mappas efter de grundlĂ€ggande komponenter i styrning som illustrerades i figur 4.2: Behovsanalys, Reglering, Stöd och Uppföljning, och motsvarande steg i metodstödet pĂ„ informationssĂ€kerhet.se. Ăven hĂ€r syftar aktiviteterna till att skapa en cirkulĂ€r process som i sin tur syftar till stĂ€ndig förbĂ€ttring och anpassning till organisationens och omvĂ€rldens behov och krav. Standarden SS-EN ISO/IEC 27001 har samma struktur och kapitelindelning som andra ledningssystemsstandarder, exempelÂvis för kvalitet (SS-EN ISO 9000), miljö (ISO 14000) och
©âFörfattaren och Studentlitteratur
187
4âStyrning av informationssĂ€kerhet kontinuitetshantering (SS-EN ISO 22301). Som nĂ€mnts tidigare innebĂ€r detta fördelar om man vill integrera ledningssystem. Förutom huvudstandarderna SS-EN ISO/IEC 27001 och SS-EN ISO/ IEC 27002 finns det en mĂ€ngd andra standarder i serien. NĂ„gra av dessa beskrivs i kapitel 6.
Analys av organisationens behov InformationssĂ€kerhet Ă€r inte en isolerad företeelse i en organisation utan Ă€r en stödverksamhet till den kĂ€rnverksamhet som utför de egentliga tjĂ€nster som organisationen Ă€r till för. Om man vill förstĂ„ behovet av informationssĂ€kerhet i en organisation behöver man analysera de tre delarna i figur 4.1: interna förutsĂ€ttningar, externa förutsĂ€ttningar och hotbild. Ingen organisation behöver dock egentligen börja med ett âvitt papperâ, eftersom varje organisation ingĂ„r i en samhĂ€llelig kontext och dĂ€rför delar mĂ„nga förutsĂ€ttningar med andra organisationer i samhĂ€llet. ORGA N ISAT ION EN EN DEL I EN OMGI VA N DE KON T E X T
Varje organisation Ă€r unik; den bestĂ„r av unika mĂ€nniskor, har unika lokaler m.m. och har en sĂ€rskild uppgift som gör att den har ett existensberĂ€ttigande. Men, varje organisation har inte bara unika förutsĂ€ttningar, utan den finns till i ett omgivande samhĂ€lle och tillhör en viss bransch eller sektor. DĂ€rför delar, eller âĂ€rverâ, varje organisation generella förutsĂ€ttningar. I avsnittet âHotbilderâ i kapitel 2 illustrerar figur 2.10 att en organisation har en egen specifik hotbild, men att organisationen ocksĂ„ Ă€rver en generell samhĂ€llelig hotbild och den hotbild som Ă€r specifik för den bransch eller sektor som organisationen tillhör. Detta förhĂ„llande gĂ€ller för flera faktorer Ă€n för organisationens hotbild. RĂ€ttsliga krav, informationstillgĂ„ngar och olika rollers förvĂ€ntningar Ă€r faktorer som alla kan fördelas i dessa tre nivĂ„er (se figur 4.4).
188
©âFörfattaren och Studentlitteratur
4âStyrning av informationssĂ€kerhet SamhĂ€llsgemensamma förutsĂ€ttningar: âą Hotbild âą RĂ€ttsliga krav âą InformationstillgĂ„ngar âą FörvĂ€ntningar OrganisationsspeciïŹka förutsĂ€ttningar: âą Hotbild âą RĂ€ttsliga krav âą InformationstillgĂ„ngar âą FörvĂ€ntningar
SamhÀlle
Sektor/bransch
SektorsspeciïŹka förutsĂ€ttningar: âą Hotbild âą RĂ€ttsliga krav âą InformationstillgĂ„ngar âą FörvĂ€ntningar
Organisation
Figur 4.4âSamhĂ€llsgemensamma, sektorspecifika och organisationsspecifika förutsĂ€ttningar.
Vissa rĂ€ttsliga krav Ă€r gemensamma för i stort sett alla organisationer, exempelvis dataskyddsförordningen och bokföringslagen. Andra kan gĂ€lla för vĂ€ldigt mĂ„nga organisationer i samhĂ€llet, exempelvis för hela den offentliga sektorn (t.ex. arkivlagen) eller för alla företag (t.ex. lagen om företagshemligheter). En hel del informationstyper kan ocksĂ„ ses som generella eftersom de finns i princip alla organisationer, exempelvis personuppgifter och finansiella transaktioner för att koppla mot exemplen pĂ„ lagarna ovan. MĂ„nga rĂ€ttsliga krav och informationstyper Ă€r avhĂ€ngiga den bransch eller sektor dĂ€r organisationen ingĂ„r, t.ex. finanssektorn, hĂ€lso- och sjukvĂ„rd eller telekomsektorn. NĂ€r det gĂ€ller förvĂ€ntningar sĂ„ finns det allmĂ€nna förvĂ€ntningar pĂ„ organisationers informationssĂ€kerhet i samhĂ€llet; att information Ă€r tillgĂ€nglig och korrekt, att betalningar kan ske smidigt och sĂ€kert, att det finns e-tjĂ€nster med stark autentisering m.m. âAllmĂ€nhetenâ i samhĂ€llet Ă€r ju inte bara en folkmassa i organisationens periferi, utan Ă€r ju ocksĂ„ representerad i och nĂ€ra organisationen i form av anstĂ€llda, Ă€gare, kunder, klienter osv. FörvĂ€ntningar frĂ„n olika roller kan vara, och Ă€r ofta, kopplade till den bransch eller sektor som organisationen befinner sig i.
©âFörfattaren och Studentlitteratur
189
4âStyrning av informationssĂ€kerhet Lite förenklat kan man alltsĂ„ dela in en organisations behov av informationssĂ€kerhet i tre delar: organisationsspecifika, sektorsspecifika och samhĂ€llsgemensamma. Slutsatsen av detta Ă€r att man egentligen inte behöver analysera allt frĂ„n grunden utan mĂ„nga av förutsĂ€ttningarna Ă€r redan givna. Dessa bör man förstĂ„s identifiera, och dĂ€rför Ă€r det oerhört viktigt att inom detta omrĂ„de hĂ„lla sig Ă jour med samhĂ€llsövergripande och sektorspecifika förutsĂ€ttningar. Detta görs genom bl.a. mediebevakning, nĂ€tverkande och samverkan. Med detta sagt mĂ„ste man Ă€ndĂ„ göra jobbet att identifiera de interna och externa förutsĂ€ttningarna inklusive den hotbild som Ă€r unik för den egna organisationen. Förutom att man kommer att hitta specifika behov för organisationens informationssĂ€kerhet sĂ„ ger genomförandet av olika analyser mervĂ€rden i sig, frĂ€mst genom att de har en medvetandehöjande effekt hos de som deltar i analyserna eller tar del av resultaten. Generellt skydd mot generella hot och krav UtifrĂ„n resonemanget ovan innebĂ€r detta ocksĂ„ att valet av sĂ€kerhetsĂ„tgĂ€rder knappast Ă€r unikt för en organisation. De sĂ€kerhetsĂ„tgĂ€rder man vĂ€ljer för att uppnĂ„ en viss nivĂ„ av informationssĂ€kerhet Ă€r Ă€ven dessa till stor del gemensamma i samhĂ€llet för liknande organisationer i samma bransch eller sektor. Det Ă€r ocksĂ„ detta som Ă€r idĂ©n med de ramverk och standarder som utgör best practice och Ă€ven med de krav pĂ„ sĂ€kerhetsĂ„tgĂ€rder som finns i vissa författningar. MĂ„nga experter har kommit fram till att det Ă€r de ingĂ„ende sĂ€kerhetsĂ„tgĂ€rderna i dessa som ger ett grundskydd mot en generell hotbild och som uppfyller generella krav. De flesta av dessa ramverk och standarder Ă€r dock internationella, varför det Ă€r bra att komplettera med nationella och sektorsspecifika krav och rekommendationer för sĂ€kerhetsĂ„tgĂ€rder, nĂ„got som enligt min uppfattning borde utvecklas mer. NĂ€r man analyserar en organisations behov av informationssĂ€kerhet med hjĂ€lp av de olika analyserna i avsnitten nedan sĂ„ Ă€r det viktigt att först ha den breda bilden i Ă„tanke och ta fasta pĂ„ följande:
190
©âFörfattaren och Studentlitteratur
4âStyrning av informationssĂ€kerhet âą Se organisationen i en samhĂ€llelig och sektorsspecifik kontext. Vilka sĂ€kerhetsĂ„tgĂ€rder krĂ€ver de hot, rĂ€ttsliga krav, informationstyper och förvĂ€ntningar som gĂ€ller i samhĂ€llet i stort och för den bransch eller sektor som organisationen tillhör? âą Inför sĂ€kerhetsĂ„tgĂ€rder som baseras pĂ„ etablerade standarder eller ramverk för att skapa ett generellt skydd (âhygiennivĂ„â). DĂ€refter kan sĂ€kerhetsĂ„tgĂ€rder vĂ€ljas och införas baserat pĂ„ risk analyser, som i sin tur inkluderar eller baseras pĂ„ analyserna av de externa och interna förutsĂ€ttningarna och hotbilden (se avsnittet âRiskanalyserâ lĂ€ngre fram). A NA LY SER AV I N T ER NA OC H E X T ER NA FĂRU TSĂT T N I NGA R
Att analysera de interna och externa förutsÀttningarna Àr nÄgot som man behöver göra grundligt Ätminstone en gÄng. Det Àr lÀmpligt att göra sÄdana analyser nÀr man Àr nytilltrÀdd i rollen som informationssÀkerhetschef (eller motsvarande) för att skaffa sig sjÀlv kunskap om förhÄllandena i och utanför organisationen. Dessutom Àr det ett bra tillfÀlle att lÀra kÀnna olika personer och roller i organisationen och presentera sig sjÀlv, eftersom analyserna gÀrna kan ske i intervjuform. Som nÀmnts tidigare behöver styrningen av informationssÀkerhet vara cykliskt, och dÄ kan dessa analyser vara Äterkommande exempelvis pÄ Ärsbasis. Har man gjort gedigna analyser första gÄngen har man skapat en struktur och metod för detta och det rÀcker sedan med att identifiera förÀndringar. Eftersom allt Àr i stÀndig förÀndring bör man dock stÀndigt och dagligdags vara observant pÄ viktiga förÀndringar internt och externt.
©âFörfattaren och Studentlitteratur
191
4âStyrning av informationssĂ€kerhet Delar som bör omfattas vid analys av interna förutsĂ€ttningar Ă€r: âą Organisationens verksamheter. Vilka karaktĂ€rsdrag har dessa och vilka uppdrag? Vilka kĂ€rnverksamheter och stödverksamheter finns? Vilka Ă€r mest kritiska och mĂ„ste fungera? Vilken storlek har de och hur Ă€r de organiserade och lokaliserade? âą Organisationens styrning. Hur styrs organisationen? Av vilka och pĂ„ vilka nivĂ„er? Vilka styrmodeller och ledningssystem finns? Hur styrs nĂ€rliggande omrĂ„den som (annan) sĂ€kerhet, IT, risk och kvalitet? Hur styrs organisationen informellt, finns t.ex. starka personer som styr bakom kulisserna? âą Organisationens behov och mĂ„l. Vilka visioner, mĂ„l, behov och vĂ€rdegrunder finns? Finns outtalade och informella mĂ„l och ideal i organisationen? âą Organisationens informationstillgĂ„ngar. Vilka Ă€r de viktigaste (utifrĂ„n KRT) informationstyperna i organisationen? Vilka huvudsakliga informationssystem finns? Hur ser IT-miljön ut? Vilka informationstillgĂ„ngar Ă€r mest kritiska för organisationen, dess kunder och andra aktörer? Finns samhĂ€lls viktig information eller sĂ€kerhetsskyddsklassad information? Delar som bör omfattas vid analys av externa förutsĂ€ttningar Ă€r: âą InformationssĂ€kerhet i samhĂ€llet. Hur ser utvecklingen av informationssĂ€kerhet ut i samhĂ€llet: internationellt, nationellt, inom branschen/sektorn, regionalt och lokalt pĂ„ orten? Vilka nya ramverk, standarder, modeller och metoder Ă€r pĂ„ vĂ€g att förĂ€ndras eller lanseras? Vilka nya typer av tekniska förĂ€ndringar Ă€r pĂ„ vĂ€g att ske? âą RĂ€ttsliga krav. Vilka lagar, förordningar och föreskrifter stĂ€ller krav pĂ„ organisationens informationshantering och informationssĂ€kerhet? Detta kallas ofta för rĂ€ttsanalys och
192
©âFörfattaren och Studentlitteratur
4âStyrning av informationssĂ€kerhet Ă€r sjĂ€lvklart en fundamental del för att förstĂ„ vilka formella krav som stĂ€lls pĂ„ informationssĂ€kerhet. En rĂ€ttsÂanalys bör ocksĂ„ innefatta kommande och förvĂ€ntade rĂ€ttsÂliga krav. Vilka författningar kan förvĂ€ntas att förĂ€ndras eller tillkomma de nĂ€rmsta Ă„ren? Vad har t.ex. föreslagits i SOU eller Ă€r pĂ„ gĂ„ng inom EU? Vilka viktiga avtal finns? âą OmvĂ€rldens behov och förvĂ€ntningar. Vilka Ă€r organisationens kunder, klienter eller andra avnĂ€mare? Vilka andra intressenter finns? Vilka krav, behov och förvĂ€ntningar har de pĂ„ organisationens informationssĂ€kerhet? Formellt och uttalat, informellt och outtalat? âą Externa informationstillgĂ„ngar. Vilken extern information Ă€r organisationen beroende av? Finns outsourcad informationshantering? Vilka molntjĂ€nster anvĂ€nds? R ISK A NA LYSER
Riskbegreppet gicks igenom i kapitel 1 och definieras som sannolikhet, eller förvĂ€ntad frekvens av en förvĂ€ntad hĂ€ndelse, multi plicerat med den skada eller negativa konsekvens som hĂ€ndelsen förvĂ€ntas medföra. Om den förvĂ€ntade hĂ€ndelsen har en negativ konsekvens Ă€r den att betrakta som ett hot, dvs. om hĂ€ndelsen intrĂ€ffar sĂ„ Ă€r den en incident. En riskanalys Ă€r ett systematiskt tillvĂ€gagĂ„ngssĂ€tt att identifiera hot som sedan vĂ€rderas utifrĂ„n de bĂ„da faktorerna sannolikhet och konsekvens. En risk kan alltsĂ„ sĂ€gas vara ett hot som man har graderat i allvarlighet bĂ„de utifrĂ„n hur troligt man bedömer det vara att hotet ska realiseras och hur svĂ„ra eller dyra konsekvenserna blir om detta sker. Syftet med riskanalyser Ă€r naturligtvis att ge ett stöd för vilka sĂ€kerhetsĂ„tgĂ€rder som behöver införas, men ett viktigt delsyfte Ă€r ocksĂ„ att skapa ett sĂ€kerhetsmedvetande i den aktuella verksamheten â framförallt hos dem som genomför riskanalysen, men Ă€ven hos dem som tar del av resultatet. Riskanalyser kan göras i olika situationer och för olika objekt. De kan göras för t.ex. en hel organisation, en delverksamhet som
©âFörfattaren och Studentlitteratur
193
INFORMATIONSSĂKERHET I vĂ„rt alltmer digitaliserade samhĂ€lle flödar information mellan företag, myndigheter, privatpersoner och molnleverantörer. De flesta organisationer Ă€r helt beroende av fungerande IT och anslutning till internet. Utvecklingen gĂ„r i ett rasande tempo och nya tekniker och företeelser â som internet of things, blockchain och artificiell intelligens â innebĂ€r ytterligare utmaningar i framtiden. Digitaliseringen sker Ă€ven av mindre nogrĂ€knade aktörer, och internet har dĂ€rför ocksĂ„ blivit en arena för brottslighet, spionage, terrorism och krigföring. I denna miljö Ă€r det av yttersta vikt att organisationer i alla branscher och sektorer har en god informationssĂ€kerhet. Det handlar om att uppnĂ„ och bevara informationens konfidentialitet, riktighet och tillgĂ€nglighet, oavsett om informationen hanteras av IT-system, i pappersform eller direkt av oss mĂ€nniskor i form av tal. Boken behandlar bland annat informationssĂ€kerhetsrelaterade hot och sĂ€kerhetsĂ„tgĂ€rder, och hur man kan arbeta systematiskt med informationssĂ€kerhet och öka sĂ€kerhetsmedvetandet i organisationer.
Art.nr 39697
studentlitteratur.se