1 / 23

Värdering och klassificering av informationstillgångar

Aspekter på. Värdering och klassificering av informationstillgångar. Utformning av en gemensam modell för klassificering av information. Per Oscarson Myndigheten för samhällsskydd och beredskap – MSB. Per Oscarson. Handläggare på MSB:s Informationssäkerhetsenhet

shiro
Download Presentation

Värdering och klassificering av informationstillgångar

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Aspekter på Värdering och klassificering av informationstillgångar Utformning av en gemensam modell för klassificering av information Per Oscarson Myndigheten för samhällsskydd och beredskap – MSB

  2. Per Oscarson • Handläggare på MSB:s Informationssäkerhetsenhet • Handlingsplan för samhällets informationssäkerhet • Strategi för samhällets informationssäkerhet (pågående) • Forskare (post doc) vid Svenska Handelshögskolan på Örebro universitet (värdering av informationstillgångar) • Medlem i SIS tekniska kommitté 318 och ISO/IEC JTC 1 SC 27 – (främst 27004, revision av 27001 och 27002) • Fil lic och fil dr på Linköpings universitet • Informationssäkerhet i verksamheter (2001) • Actual and Perceived Information Systems Security (2007) • Har tidigare varit universitetsadjunkt och konsult

  3. Innehåll • Myndigheten för samhällsskydd och beredskap – MSB • En gemensam modell för klassificering av information • Vad är informationstillgångar? • Informationstillgångars betydelse för säkerheten • Informationstillgångar och processen enligt LIS • Utveckling av modellen • Vad ska klassificeras? • Grunder för värdering • Informationssäkerhetsaspekter • Konsekvensnivåer • Tillämpning av modellen • Fortsatt arbete: metod för hantering av informationstillgångar

  4. Myndigheten för samhällsskydd och beredskap (MSB) • Bildades 2009-01-01 • Ersätter KBM, Räddningsverket och Styrelsen för psykologiskt försvar • Ca 800 anställda • Verksamhet i Stockholm, Karlstad, Sandö och Revingehed • Informationssäkerhetsenheten 18 personer • MSB:s mandat inom informationssäkerhet liknande som KBM:s men med ytterligare kraft: • Har föreskriftsrätt inom informationssäkerhet • Verva lades ned 2009-01-01

  5. Gemensam modell för klassificering av information • Åtgärdsförslag nr 13 i handlingsplanen för samhällets informationssäkerhet • Projektet Grundläggande informationssäkerhet genomför åtgärdsförslag som riktar sig mot informationssäkerhet hos myndigheter och andra organisationer • Främst Kapitel 5 – Informationssäkerhet i verksamheter • I första hand material som stödjer myndigheters tillämpning av SS-ISO/IEC 27000-serien (Vervas föreskrift)* • Rekommendation, ej krav på tillämpning * Föreskriften väntas föras över till MSB eftersom Verva har upphört

  6. Kapitel 5. Informationssäkerhet i verksamheter • Myndighetsledningars formella ansvarstagande för hantering av informationssäkerhetsrisker • Förtydligande av informationssäkerhet i vägledningar för risk- och sårbarhetsanalyser • Rekommendationer för kravställning vid upphandlingar • Informationsmaterial till myndighetsledningar • Rekommendationer för tillämpning av LIS • Stödmaterial för införande av LIS • Utveckling och införande av ett värderingssystem • Gemensam modell för klassificering • Grundläggande nivå för informationssäkerhet

  7. Projektet Grundläggande informationssäkerhet • Projektgrupp: • Per Oscarson, MSB (projektledare) • Helena Andersson, MSB • Bengt Janulf, KBM • Roger Karlsson, KBM • Bertil Lindberg, KBM • Wiggo Öberg, MSB • Jan-Olov Andersson, SIS TK 318/Läkemedelsverket • Bengt Rydstedt, SIS TK 318 • Mats Ohlin, FMV • Dag Ströman, FMV • Dan Larsson, FRA • Fredrik Karlsson, Örebro universitet • Konsulter: Lars Söderlund, Ulf Ekengren, Göran Hägnemark

  8. Referensgrupper • MSB:s informationssäkerhetsråd • Samverkansrådet för informationssäkerhet (SAMFI) • FM, FMV, FRA, MSB, PTS, RKP/Säpo • SNITS • SIS TK 318

  9. Motiv för en gemensam modell • Från myndigheter och andra har det framförts att man har problem med informationsklassificering • Starkt stöd vid framtagningen av handlingsplanen • Att tillämpa en modell för klassificering av information är ett krav i SS-ISO/IEC 27001 • Men stödet för detta är svagt i standarder och andra ramverk • En gemensam modell underlättar kommunikation mellan organisationer • En gemensam modell kan fungera som underlag för framtida vägledningar och regleringar

  10. Utgångspunkter för en nationell modell • Anpassad till SS-ISO/IEC 27000-serien • Generisk – vara tillämpar för alla typer av organisationer • Enkel att tillämpa • All typ av information • Neutral vad gäller legala krav

  11. Vad är informationstillgångar? 11 Information och resurser för att hantera information Skyddsobjektet inom informationssäkerhet! Informationssäkerhetsarbete innebär att uppnå önskad nivå av konfidentialitet, riktighet och tillgänglighet hos informationstillgångar Säkerhet hos informationstillgångar påverkar inte sällan andra tillgångar som personal, maskiner, omvärldens förtroende m m.

  12. Två grundkategorier Informationstillgångar Informations-hanterande resurser Information Om exempelvis Personal, ekonomi, kunder, produkter… Hanterar Understödjande tillgångar (SS-ISO/IEC 27005) Primära tillgångar (SS-ISO/IEC 27005) 12

  13. Informationstillgångars betydelse för säkerheten Hot(källa) Skydd Informations-tillgång * Oscarson (2007) Actual and Perceived Information Systems Security 13 • Tre objekt påverkar säkerheten/risken* • D v s att en incident inträffar och de konsekvenser denna medför • Befintliga hot(-källor); förmåga, kraft, intention osv. • Skydd; På vilket sätt tillgångarna är skyddade • Tekniska, administrativa, kunskapsbaserade • Men även tillgångarna i sig påverkar!

  14. Informationstillgångars betydelse för säkerheten Hot(-källa) Skydd Informations-tillgång 14 • Informationstillgångar påverkar säkerheten/risken • Dess värde för organisationen eller annan part påverkar konsekvensen • Dess attraktivitet för hotkällor påverkar sannolikheten • Dess exponering för hotkällor påverkar sannolikheten

  15. Informationstillgångar och processen enligt LIS 15 • Informationstillgångarna styr riskerna • Viktig del i riskidentifieringen (avs. 4.2.1 i 27001) • Svagt stöd hur detta går till i 27001 • Ny standard 2008: ISO/IEC 27005:2008 Information Security Risk Management • Annex B innehåller kategorisering som stöd för identifiering, samt viss stöd för värdering och klassificering • Ansvar för tillgångar samt klassificering av information utifrån en antagen klassificeringsmodell är dessutom krav i 27001, med vägledning i 27002 • SS-ISO/IEC 27001: Bilaga A: A.7 Hantering av tillgångar • SS-ISO/IEC 27002: Kapitel 7 Hantering av tillgångar

  16. Krav enligt SS-ISO/IEC 27001:2006 • A.7.1 Ansvar för tillgångar Mål: Att uppnå och upprätthålla lämpligt skydd för organisationens tillgångar A.7.1.1 Förteckning över tillgångar Alla tillgångar ska tydligt markeras och en förteckning omfattande alla viktiga tillgångar ska upprättas och underhållas A.7.1.2 Ägarskap för tillgångar All information och tillgångar tillhörandes informationsbehandlingsresurserna ska ”ägas” av en utsedd organisationsenhet A.7.1.3 Godtagbar användning av tillgångar Regler för hur information och tillgångar tillhörandes informationsbehandlingsresurser får användas ska utformas, dokumenteras och införas 16

  17. Krav enligt SS-ISO/IEC 27001:2006 • A.7.2 Klassificering av information Mål: Att säkerställa att information erhåller en lämplig skyddsnivå A.7.2.1 Riktlinjer för klassificering Information ska klassificeras i termer av dess värde, legala krav, känslighet och betydelse för organisationen A.7.2.2 Märkning och hantering av information En lämplig uppsättning rutiner för märkning och hantering av information ska utvecklas och införas i enlighet med det klassificeringssystem som antagits av organisationen 17

  18. Principer vid utformning av klassificeringsmodell 18 • Information och/eller resurser? • Ska t ex system klassas, eller informationen? • Vilka aspekter ska finnas med? • Konfidentialitet, riktighet, tillgänglighet, spårbarhet…? • Hur ska dessa definieras? • Vilken typ av nivåer ska finnas? • Skyddsvärde, informationsvärde, konsekvensnivå? • Antal konsekvensnivåer? • Ska t ex en ”nollnivå” finnas med? • Hantering av juridiska regleringar

  19. Dokumentet • Klassificering av information • Kortfattat om klassificering av information i informationssäkerhetsarbetet • Koppling till SS-ISO/IEC 27001, 27002 och 27005 • Modell för klassificering av information • Definitioner av säkerhetsaspekter och konsekvensnivåer • Tillämpning av modellen • Mottagare till modellen • Vad ska klassificeras? • Juridiska aspekter • Tidsaspekten • Tillämpning av modellen

  20. Tillämpning av modellen 20 • Informationsklassificering fundamentalt för säkerheten • En grundsten riskhanteringsprocessen • Styr behörigheter, skyddsnivåer etc. • Gör det enkelt för användarna – onödigt komplexa klassificeringssystem är sällan effektiva • Skapa mallar som informationsägare (el. motsv.) kan använda • Klassningen är inte statisk • Information kan ”vandra” mellan klasser • Krav kan variera över tid, och variera geografiskt • Undvik överklassificering • Kan innebära onödiga kostnader • En liten känslig informationsmängd kan ställa höga krav på ett helt stort system

  21. Identifiering av informationstillgångar 21 • Konsulter bäst på hot och skydd • Experterna på informationstillgångar finns i verksamheten! • Utgå från verksamheten och dess ansvariga • Marknad, produktion, personal, IT etc. • Informationsägare, systemägare, processägare eller motsvarande • Använd befintliga förteckningar • Kvalitets- dokumentationssystem, andra förteckningar, t ex över IT-system, i samband med försäkringar etc. • Skapa mallar och lathundar för som stöd till informationsägare el motsv. • Externa informationstillgångar • Verksamheter är ofta beroende av extern information och andra resurser

  22. Hur värdera konsekvenser? 22 • Marknadsvärde/ersättningskostnad • Även bikostnader, t ex arbetskostnader, väntetider, produktionsstörningar, strul… • Externa krav • Kunder, leverantörer, partners, medborgare/allmänhet • Legala krav • Böter, Förtroendebrister • Andra värden som inte är monetära • T ex etik, tradition/identitet, förtroende • Ackumuleringseffekter • Stor mängd icke-känslig information kan sammantaget bli känslig • Svårt att veta totala kostnaden i förväg! • Bikostnader och indirekta kostnader som t ex förlust av förtroendekapital är svåra att förutse

  23. Fortsatt arbete • Publicering av klassificeringsmodellen i maj • Nystart av projektet Grundläggande informationssäkerhet • Roadmap för övriga åtgärder i handlingsplanen kopplade till informationssäkerhet i verksamheter • Metod för identifiering och värdering av informationstillgångar – Örebro universitet

More Related