Informationssäkerhet för strutsar Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL & Leif Carlson, Informationssäkerhetschef, Inera AB Fördjupningsdag Agenda: Inledning och introduktion till området Erfarenheter från ett.
Download ReportTranscript Informationssäkerhet för strutsar Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL & Leif Carlson, Informationssäkerhetschef, Inera AB Fördjupningsdag Agenda: Inledning och introduktion till området Erfarenheter från ett.
Slide 1
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 2
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 3
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 4
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 5
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 6
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 7
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 8
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 9
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 10
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 11
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 12
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 13
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 14
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 15
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 16
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 17
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 18
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 19
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 20
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 21
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 22
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 23
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 24
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 25
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 26
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 27
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 28
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 29
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 30
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 31
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 32
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 33
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 34
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 35
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 36
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 37
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 38
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 39
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 40
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 41
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 42
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 2
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 3
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 4
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 5
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 6
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 7
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 8
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 9
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 10
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 11
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 12
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 13
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 14
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 15
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 16
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 17
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 18
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 19
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 20
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 21
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 22
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 23
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 24
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 25
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 26
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 27
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 28
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 29
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 30
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 31
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 32
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 33
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 34
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 35
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 36
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 37
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 38
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 39
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 40
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 41
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]
Slide 42
Informationssäkerhet
för strutsar
Jeanna Thorslund, Jurist och Samordnare
Informationssäkerhet, SKL
&
Leif Carlson, Informationssäkerhetschef, Inera AB
Fördjupningsdag Agenda:
Inledning och introduktion till området
Erfarenheter från ett uppmärksammat fall med ett dataintrång,
Tomas Forsberg, Umeå kommun
Hur får man in informationssäkerhet i verksamhetens processer?
Om informationsklassificering
Nytt praktiskt verktyg för arbetet med informationsklassificering –
KLASSA, Björn Söderlund, Lidingö Stad
WS-övning
Ledningssystem för Informationssäkerhet, Johan Kallum, Region
Gotland
Hur tar man steget från teori till verklighet?
Trygghet och Säkerhet – Samhällets
främsta uppgift!
L
Vad är Informationssäkerhet?
Information
som är viktig
för
verksamheten
Finns något som
kan hota den?
Skydda den
Vad är Informationssäkerhet?
Hur länge
kan vi
vara utan
den?
Vem har
ändrat?
Information
Hur
hemlig är
den?
Hur
viktigt att
den är
rätt?
L
Fokus: Att uppnå verksamhetens mål!
Fokus: Informationsprocessen!
Ansökan om
XYZ
Skickas för
beredning hos
grupp B
Beslut
Överlämnande
till Cmyndigheten
Definition Informationssäkerhet – SIS-standard ISO 27001
Informationssäkerhet
Flytta fokus från IT
till verksamhet!
Administrativ säkerhet
Teknisk säkerhet
Fysisk säkerhet
IT-säkerhet
Datasäkerhet
Kommunikationssäkerhet
Ett annat sätt att beskriva samma sak inom vården
Patientsäkerhet
Tillgänglighet
Patientintegritet
Riktighet
Skyddsvärt
Informationssäkerhet
Skyddsåtgärder
Ledning &
styrning
Policy &
regelverk
Konfidentialitet
Rutiner &
utbildning
Spårbarhet
Hur skyddsvärt?
Informationsklassning!
Teknisk säkerhet
Uppföljning
& revision
Fysisk
säkerhet
ITsäkerhet
L
Ansvar och roller
• Genomföra
• Följa avtal och
instruktioner
• Genomföra
• Följa avtal och
instruktioner
• Ansvar
• Beställare
• Behov
• Personuppgiftsansvar
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Förmedla krav
• Stödja
verksamheten
Varför är det viktigt?
Risk för
samhällsviktiga
funktioner?
Allvarlig skada
för individ?
Jobbigt…
Informationssäkerhet
- Verktygslådan:
Självskattning
eBlomlådan
KLASSA
Informationsklassning
EASY
Risk- och
Sårbarhetsanalyser
Ledningssystem
för kvalitet
Q
DISA
RSA
LIS
Utbildning
Ledningssystem för
Informationssäkerhet
Act
Plan
Check
Do
INCIDENTER
Oönskade händelser - Incidenter
Informationsförlust
Avbrott
Yttre
händelser
Dataintrång
Information
L
INFORMATIONSSÄKERHET I
VERKSAMHETENS PROCESSER
L
Fokusera på nyttan
Poängen är att verksamheten ska nå sina mål
Vad hindrar oss?
Fokusera på möjligheterna men var inte naiv
Exempel: Upphandlingsprocess
Behovsbeskrivning
Informationsprocess?
Kravformulering
Krav som
pekar mot
effekten vid
införandet
Leverans
Leveransgodkänna
nde?
Typ av
information
?
Skyddsnivåer?
Särskilda
krav?
Färdiga
krav?
Använd
klassning
Projektarbete och
Informationssäkerhet
Time over Quality!!!
Tid
Kvalitet
Projektbeställning och kvalitet
Tid
Rättsäkerhet
God kvalitet
Patientsäkerhet
Trygghet
Integritet
Informationssäkerhet
När ska informationssäkerhet tas in?
• Beskriv
informationsprocessen
• Klassa
• Preliminär
bedömning av
säkerhetskrav
Förstudie
Projektarbete
/ Förändring
• Beslut om
klassning
• Beslut om
kravnivå
• Genomföra
• Införa
• Godkänn
Resultat /
Införande
Förvaltning
• Ny analys
vid
förändring
• Kontroll och
uppföljning
Riskhantering
Risk
S
K
R
1. Risk att….
3
2
3
2. Risk att….
4
1
2
3. Risk om….
1
4
2
4. Risk att….
3
4
6
Fokusera inte för mycket på metoden
– det viktigaste är att risker hanteras!
L
Utbildning
Ledning
Medarbetare
Användare
INFORMATIONSKLASSIFICERING
Varför informationsklassificering?
Bestämmer värdet på informationen
Utgår från verksamhetens behov
Blir en beställning om önskat skydd
Utgår ifrån Kriterierna:
- Riktighet
- Konfidentialitet
- Tillgänglighet
- Spårbarhet
Skyddsnivåer
4
Allvarlig
konsekvens
Mycket hög skyddsnivå
3
Betydande
konsekvens
Hög skyddsnivå
2
Måttlig konsekvens
Normal
skyddsnivå
(grundnivå)
1
Obetydlig konsekvens för
verksamheten
Låg
skyddsnivå
L
Ex. Säkerhetsnivåer kopplade till
klassning av Konfidentialitet
Autentisering
Loggning
Logguppföljning
Kryptering
Segmentering
Tvåfaktors
Hårda cert
Centrala
redundanta
loggservrar
Ständigt
Automatiserad
JA
256-bit
Eget segment
Tvåfaktors
Mjuka cert
Central
loggserver
Daglig
Ja
Användarnamn
och lösenord
Lokal logg
Periodisk
Ingen
Ingen
Vid behov
Ingen
Inget krav
När ska klassningen göras?
För informationsprocesser som är viktiga för verksamheten
På övergripande nivå
På detaljnivå
Avstämning minst en gång om året
Vid förändringar
Ansvar och roller informationsklassificering
• Initierar
• Informationsägare
• Verksamhetsnära
systemförvaltare
•Information
•Genomföra
Leverantörer
Verksamheten
IT-Drift
Intern IT
• Informationssäkerhetssamordnare
•Kompetensstöd
•Kompetensstöd
KLASSA
Nytt praktiskt verktyg för arbetet med informationsklassificering
Björn Söderlund, IT-strateg, Lidingö
DISKUSSION:
GÖR EN HANDLINGSPLAN
Gör en handlingsplan för er vänortskommun
Mittköping
Vad ska man ta itu med först?
Vad är det som hindrar oss från att komma igång?
Vilka goda råd vill ni ge?
Arbeta 20 minuter
L
FRÅN TEORI TILL VERKLIGHET
Mognadstrappan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Mognadstrappan
Act
Plan
Upprätthålla
kontinuerligt
Strukturerat &
Genomgående
Genomföra &
Införa
Klassa &
Prioritera
Ordning &
Reda
Check
Do
Första steget:
Ordning & Reda
Krav mot verksamhet:
- Ansvar och roller
- Systemförvaltnings-modell
- Identifiera och
dokumentera
informationsprocesser
- Nulägesanalys
- GAP-analys
Krav mot IT-drift
/leverantör:
- Systemportfölj
- Dokumentera och
identifiera ITinfrastruktur
- System
- Applikationer
- Ansvar och roller
Andra steget:
Klassa & Prioritera
Krav mot verksamhet:
- Informationsklassificering
- KLASSA-verktyget
Prioritera:
- Stödjer samhällsviktig
verksamhet?
- Mycket personuppgifter?
- Beroende?
Krav mot drift /leverantör:
- Prioritera:
- Ordning för Återstart
- Integrationer /Centralt?
- SLA med leverantör?
Sammanfattning
Undvik det som hindar er att nå era mål.
Betrakta informationssäkerhet som en kvalitetsaspekt.
Fokusera på nyttan utan att vara naiv men var realistisk.
Ta det steg-för-steg (PDCA) i den takt verksamheten kan
hantera.
Verktyg är stöd och möjliggörare, inget självändamål
Kommunicera, visualisera och involvera
Ge inte upp – skam den som ger sig
TACK FÖR
UPPMÄRKSAMHETEN!
[email protected]
[email protected]