Skra vr samhllsviktiga infrastruktur Skra din verksamhet Myndigheten

  • Slides: 48
Download presentation
Säkra vår samhällsviktiga infrastruktur Säkra din verksamhet Myndigheten för samhällsskydd och beredskap

Säkra vår samhällsviktiga infrastruktur Säkra din verksamhet Myndigheten för samhällsskydd och beredskap

Säkra vår samhällsviktiga infrastruktur Myndigheten för samhällsskydd och beredskap

Säkra vår samhällsviktiga infrastruktur Myndigheten för samhällsskydd och beredskap

Säkra din verksamhet Myndigheten för samhällsskydd och beredskap

Säkra din verksamhet Myndigheten för samhällsskydd och beredskap

Myndigheten för samhällsskydd och beredskap

Myndigheten för samhällsskydd och beredskap

17 rekommendationer för ökad säkerhet Myndigheten för samhällsskydd och beredskap

17 rekommendationer för ökad säkerhet Myndigheten för samhällsskydd och beredskap

Myndigheten för samhällsskydd och beredskap

Myndigheten för samhällsskydd och beredskap

1. Säkra ledningens engagemang och ansvar Exempel på aktiviteter: • • • Jobba långsiktigt

1. Säkra ledningens engagemang och ansvar Exempel på aktiviteter: • • • Jobba långsiktigt och försök få ledningen att själva intressera sig för säkerhetsarbete och vilken nytta det kan få för verksamheten. Försök att beskriva vad olika åtgärder kostar – både i investering och i arbetstid. Relatera sedan kostnaden till den nytta som åtgärden gör för verksamheten. Föreslå konkreta förändringar i verksamhetens styrdokument med målsättningen att de industriella informations- och styrsystemen beaktas i det systematiska informationssäkerhetsarbetet. Undvik att prata om teknik, utan fokusera på hur effektiviteten långsiktigt kan förbättras i takt med ett ökat säkerhetsarbete i de industriella informations- och styrsystemen. Använd konkreta exempel som ligger nära den egna verksamheten för att förklara vad it-säkerhet i de industriella informations- och styrsystemen innebär. Myndigheten för samhällsskydd och beredskap

1. Säkra ledningens engagemang och ansvar Exempel på mål för säkerhetsarbetet: Det finns en

1. Säkra ledningens engagemang och ansvar Exempel på mål för säkerhetsarbetet: Det finns en informationssäkerhetspolicy som inkluderar de industriella informations - och styrsystemen. Ledningen lyfter aktivt fram vikten av att följa informationssäkerhetspolicyn. Ledningen informeras om och godkänner regelbundet uppdaterade riskanalyser och åtgärdsplaner för de industriella informations- och styrsystemen. Samtliga i ledningsgruppen har en grundläggande förståelse för skillnaderna i säkerhets- och funktionskrav mellan de administrativa systemen och de industriella informations- och styrsystemen. Myndigheten för samhällsskydd och beredskap

2. Tydliggör roller och ansvar Exempel på aktiviteter: • • Skapa en informationssäkerhetspolicy för

2. Tydliggör roller och ansvar Exempel på aktiviteter: • • Skapa en informationssäkerhetspolicy för industriella informations- och styrsystem. Ansvarsfördelningen för säkerhetsfrågor tydliggörs enklast på detta vis. Policyn kan antingen vara ett separat dokument, som då måste relateras till organisationens övriga policydokument, eller så kan frågan lösas genom tillägg i organisationens informationssäkerhetspolicy. Samordna roll- och ansvarsfördelningen hos de administrativa informationssystemen och de industriella informations- och styrsystemen. Det bör tydligt framgå vilka system som organisationens centrala it-stöd förvaltar och vilka system som förvaltas lokalt ute i produktionen. Låt organisationens centrala it-stöd ansvara för den totala integrationen och skapa en sammanhållen syn på säkerhetsfrågorna trots att vissa system förvaltas lokalt. Dokumentera tydligt vilka krav som ställs på en systemägare. Myndigheten för samhällsskydd och beredskap

2. Tydliggör roller och ansvar Exempel på mål för säkerhetsarbetet: Det finns en ansvarig

2. Tydliggör roller och ansvar Exempel på mål för säkerhetsarbetet: Det finns en ansvarig för den övergripande säkerheten i de industriella informations- och styrsystemen. För varje verksamhetskritiskt system finns det en person som är utsedd till systemägare. Systemägarnas arbetsuppgifter, ansvar, resurser och mandat är tydligt dokumenterade. Alla systemägare är medvetna om sitt ansvar. Det finns dokumenterade krav som ställs på en systemägare, såsom kompetens, utbildning, säkerhetsklassning, et cetera. Myndigheten för samhällsskydd och beredskap

3. Underhåll processer för systemkartläggningar och riskhantering Exempel på aktiviteter: • • • Inventera

3. Underhåll processer för systemkartläggningar och riskhantering Exempel på aktiviteter: • • • Inventera organisationens tillgångar och identifiera de som är kritiska genom att tillämpa ett riskbaserat synsätt. Identifiera därefter de kritiska datorbaserade tillgångarna. Upprätta en dokumenterad process för hur riskanalyser ska genomföras och under vilka förutsättningar de ska uppdateras. Välj riskanalysmetod utifrån analysens syfte och den tillgängliga informationen. Valet av metod bör ta hänsyn till möjligheten att enkelt uppdatera riskanalysen. Upprätthåll en konfigurationsdatabas för att underlätta sökningen av olika komponenter och parametrar i en komplicerad nätverkstopologi. Myndigheten för samhällsskydd och beredskap

3. Underhåll processer för systemkartläggningar och riskhantering Exempel på mål för säkerhetsarbetet: Det finns

3. Underhåll processer för systemkartläggningar och riskhantering Exempel på mål för säkerhetsarbetet: Det finns en tydlig och uppdaterad dokumentation över verksamhetens system, informationsflöden och systemberoenden. Systemen är klassificerade för att identifiera vilka som är kritiska för verksamheten. Det finns en tydlig och uppdaterad dokumentation över samtliga kommunikationsvägar till och från de industriella informations- och styrsystemen. Det finns tydliga riktlinjer för hur, och hur ofta, klassning och riskanalyser ska genomföras i syfte att identifiera kritiska informationstillgångar. Samtliga verksamhetskritiska system och komponenter kan snabbt identifieras med hjälp av befintliga systemdiagram, konfigurationsdatabaser, nätverkskartor eller liknande. Myndigheten för samhällsskydd och beredskap

4. Säkerställ en systematisk förändringshantering Exempel på aktiviteter: • • Uppgradera programvara stegvis. Gärna

4. Säkerställ en systematisk förändringshantering Exempel på aktiviteter: • • Uppgradera programvara stegvis. Gärna i samråd med systemleverantörer, på grund av juridiska och tekniska krav. Säkerställ att den formella processen förändringshantering omfattar: 1. en beskrivning av vad som är belagt med tillståndskrav. 2. en procedur för att få tillstånd att göra förändringar. 3. en beskrivning av hur tester före och efter en förändring ska genomföras (inklusive en beskrivning av vilka förändringar som kräver tester i separat testmiljö). 4. krav på hur dokumentation ska uppdateras efter förändringar. 5. krav på hur personal ska ta del av förändringar (exempelvis i vilka fall det krävs särskild utbildning av operatörer). Myndigheten för samhällsskydd och beredskap

4. Säkerställ en systematisk förändringshantering Exempel på aktiviteter: • • • Säkerställ att regler

4. Säkerställ en systematisk förändringshantering Exempel på aktiviteter: • • • Säkerställ att regler och rutiner som rör ändringar i de industriella informationsoch styrsystemen harmonierar med befintliga förändringsregler i fysiska processer eller anläggningar. Kontrollera verktyg (datorer/laptops) som används för uppdateringar av inställningar och program. Kontrollera hanteringen av de hård- och mjukvaruverktyg, till exempel kompilatorer och filöverföringsmetoder, som används i förändringsprocessen. Kontrollera enheter så att endast känd och verifierad systemprogramvara (firmware) används. Genomför differenskontroller mot tidigare versioner före och efter alla uppdateringar. Myndigheten för samhällsskydd och beredskap

4. Säkerställ en systematisk förändringshantering Exempel på mål för säkerhetsarbetet: Det finns dokumenterade rutiner

4. Säkerställ en systematisk förändringshantering Exempel på mål för säkerhetsarbetet: Det finns dokumenterade rutiner för hur ofta alla olika system ska uppdateras eller kontrolleras. Det är möjligt att härleda vilken hård- och mjukvara (version och ”patchning”) som varit i drift, och hur den varit konfigurerad, vid en given tidpunkt. Det finns tydliga rutiner för hur defekta systemkomponenter ska ersättas. Det finns regler för hur externa konsulter och leverantörer får koppla upp utrustning mot de industriella informations- och styrsystemen. Före och efter förändringar i de industriella informations- och styrsystemen informeras alltid berörda parter om förändringen. Förändringar (konfigurationer, ”patchning”, et cetera) testas alltid i särskilt testnät innan de installeras i skarp drift. Myndigheten för samhällsskydd och beredskap

5. Säkerställ systematisk kontinuitetsplanering och incidenthantering Exempel på aktiviteter: • • Upprätta och underhåll

5. Säkerställ systematisk kontinuitetsplanering och incidenthantering Exempel på aktiviteter: • • Upprätta och underhåll incidenthanteringsrutiner och kontinuitetsplaner för de industriella informations- och styrsystemen. Analysera incidenter för att fastställa och förstå ursprungsproblem, omfattning (spridning), direkta och indirekta konsekvenser. Kontrollera till exempel om det är enkla fel och om de uppstod på grund av uppsåtliga eller ouppsåtliga händelser. Myndigheten för samhällsskydd och beredskap

5. Säkerställ systematisk kontinuitetsplanering och incidenthantering Exempel på aktiviteter: • Se till att följande

5. Säkerställ systematisk kontinuitetsplanering och incidenthantering Exempel på aktiviteter: • Se till att följande punkter ingår i kontinuitetsplaneringen: • rutiner för att sköta verksamheten manuellt (driva processen utan datorstöd) • rutiner för att återställa både data och konfigurationsinställningar samt återstarta processen • kontaktuppgifter till systemägare, operatörer, drifttekniker, övrig personal, leverantörer och support • beskrivning av supportavtal och inställelsetider • beskrivning av hur centrala komponenter i styrsystemet återanskaffas • beskrivning av hur, och varifrån, nöddrift genomförs om störningen är allvarlig. Myndigheten för samhällsskydd och beredskap

5. Säkerställ systematisk kontinuitetsplanering och incidenthantering Exempel på mål för säkerhetsarbetet: Kontinuitetsplanerna täcker in

5. Säkerställ systematisk kontinuitetsplanering och incidenthantering Exempel på mål för säkerhetsarbetet: Kontinuitetsplanerna täcker in kritiska informationstillgångar i de industriella informations- och styrsystemen. Det finns en dokumenterad process för framtagning och underhåll av kontinuitetsplaner. Det finns tydliga definitioner av vad som är en incident och hur olika typer av incidenter ska hanteras. Samtliga anställda, inklusive ledningen, ser positivt på att medarbetare meddelar en relevant del av organisationen, till exempel systemägare, om funna svagheter eller sårbarheter i system, organisation, dokumentation, et cetera. Rapporterade incidenter analyseras omedelbart och rapporteras enligt fastslagna intervall till högsta ledningen. Myndigheten för samhällsskydd och beredskap

6. Inkludera säkerhetskrav från början i all planering och upphandling Exempel på aktiviteter: •

6. Inkludera säkerhetskrav från början i all planering och upphandling Exempel på aktiviteter: • • • Använd hot- och riskanalyser samt olika kartläggningar för att samla in krav. Följ upp att leverantörerna lever upp till detaljerade krav på säkerhets- och skyddsfunktioner i system och applikationer. Kräv att leverantörerna redovisar vilka egna metoder eller processer (exempelvis interna utvecklarhandböcker) som används för att garantera kvaliteten på det egna säkerhetsarbetet. Var noga med att leverantörer som får information om de industriella informationsoch styrsystemen skriver på sekretess- och säkerhetsavtal. Ställ krav på att driftsatt utrustning ska kunna testas på ett säkert sätt. En styrdator ska till exempel klara av den trafikvolym som uppstår vid ett penetrationstest. Myndigheten för samhällsskydd och beredskap

6. Inkludera säkerhetskrav från början i all planering och upphandling Exempel på aktiviteter: •

6. Inkludera säkerhetskrav från början i all planering och upphandling Exempel på aktiviteter: • • Säkerställ att det finns dokumenterade rutiner för hur säkerhetsaspekter ska beaktas vid upphandling. Genomför regelbundna revisioner för att säkerställa efterlevnaden. Myndigheten för samhällsskydd och beredskap

6. Inkludera säkerhetskrav från början i all planering och upphandling Exempel på mål för

6. Inkludera säkerhetskrav från början i all planering och upphandling Exempel på mål för säkerhetsarbetet: Det finns dokumenterade rutiner för hur informationssäkerhetsfrågor ska hanteras vid all upphandling av varor och tjänster. Regelbundna revisioner genomförs för att säkerställa att upphandlingsrutinerna följs. Säkerhetsaspekter är alltid dokumenterade för produkter och tjänster som levereras av externa parter. Alla externa leverantörer som får information om de industriella informationsoch styrsystemen skriver alltid på ett sekretess- och säkerhetsavtal. All utrustning och tillhörande verksamhetsprocesser som är kopplade till de industriella informations- och styrsystemen testas innan de driftsätts. Ledningen säkerställer alltid att ansvariga från process-sidan är involverade i itupphandlingar med bäring på de industriella informations- och styrsystemen. Myndigheten för samhällsskydd och beredskap

7. Möjliggör en god säkerhetskultur och höj medvetenheten om behovet av säkerhet Exempel på

7. Möjliggör en god säkerhetskultur och höj medvetenheten om behovet av säkerhet Exempel på aktiviteter: • • Etablera ett administrativt säkerhetsprogram för att skapa ett generellt förhållningssätt till it. Det ger ett bra säkerhetsmedvetande, uppmuntrar till ett kritiskt tänkande samt skapar en positiv attityd till att arbeta med sådant som höjer säkerheten. Innan en person får tillgång till de industriella informations- och styrsystemen ska han eller hon genomgå lämplig utbildning. Det är viktigt att ledningen förstår vikten av utbildning, avsätter tillräckliga resurser och kontinuerligt reviderar verksamhetens program för kompetensutveckling. Myndigheten för samhällsskydd och beredskap

7. Möjliggör en god säkerhetskultur och höj medvetenheten om behovet av säkerhet Exempel på

7. Möjliggör en god säkerhetskultur och höj medvetenheten om behovet av säkerhet Exempel på mål för säkerhetsarbetet: Det finns en tydlig plan över vilka säkerhetsutbildningar som krävs av personal som jobbar med de industriella informations- och styrsystemen, eller har fysisk eller logisk tillgång till dem. Högsta ledningen förstår och godkänner utbildningsplanen minst en gång om året. Det finns en enhet inom organisationen som regelbundet utvärderar verksamhetens förhållningssätt till informationssäkerhet och rapporterar till ledningen. Minst en aktivitet arrangeras varje år då processtekniker och it-personal träffas och diskuterar säkerhetsfrågor. Nyanställd personal och externa konsulter får alltid grundläggande säkerhetsutbildning innan de ges fysisk eller logisk tillgång till de industriella informationsoch styrsystemen. Myndigheten för samhällsskydd och beredskap

8. Arbeta med en säkerhetsarkitektur Exempel på aktiviteter: • • • Utforma säkerhetsarkitekturer för

8. Arbeta med en säkerhetsarkitektur Exempel på aktiviteter: • • • Utforma säkerhetsarkitekturer för industriella informations- och styrsystem som innefattar principer och säkerhetskoncept för: • nätverkssäkerhet • systemsäkerhet • applikationssäkerhet • driftoperativa säkerhetsfrågor. Dela upp de industriella informations- och styrsystemen i olika zoner med skyddsnivåer som anpassats efter hur kritiska de olika systemen är. Beroende på bland annat system- och informationsklassificering kan även så kallade subzoner behöva skapas. Dela upp nätverket utifrån funktionell klassificering. Myndigheten för samhällsskydd och beredskap

8. Arbeta med en säkerhetsarkitektur Exempel på aktiviteter: • • Datatrafik över zongränser bör

8. Arbeta med en säkerhetsarkitektur Exempel på aktiviteter: • • Datatrafik över zongränser bör hanteras extra restriktivt och även övervakas och loggas. För vissa typer av it-miljöer kan det vara bra att använda datadioder och dataslussar. För in funktioner för övervakning, larm, spårbarhetsloggar, nätverksinspelning och analys i zongränser. Undvik att ansluta it-system och dess stödfunktioner (till exempel datalagring) till flera zoner parallellt (så kallad multihoming), då det kortsluter zonuppdelningen och aktivt motverkar zonmodellen som säkerhetskoncept. Placera osäkra tjänster och andra externa anslutningar i demilitariserade zoner (DMZ). Myndigheten för samhällsskydd och beredskap

8. Arbeta med en säkerhetsarkitektur Exempel på aktiviteter: • • • Skapa en elektronisk

8. Arbeta med en säkerhetsarkitektur Exempel på aktiviteter: • • • Skapa en elektronisk säkerhetsperimeter (logiskt skalskydd) runt de industriella informations- och styrsystemen. Notera att de administrativa systemen ligger utanför denna säkerhetsperimeter. Nätverksarkitekturen bör vara segmenterad med överlappande säkerhetsmekanismer. Använd gärna olika kommunikationsprotokoll mellan olika delar av nätverket. Om ett protokoll används mellan styrsystemet och en DMZ, så bör ett annat protokoll användas för den vidare kommunikationen mellan DMZ: n och organisationens administrativa informationssystem. Myndigheten för samhällsskydd och beredskap

8. Arbeta med en säkerhetsarkitektur Exempel på mål för säkerhetsarbetet: Verksamhetens olika delar är

8. Arbeta med en säkerhetsarkitektur Exempel på mål för säkerhetsarbetet: Verksamhetens olika delar är indelade i olika zoner. Indelningen är dokumenterad. Inga it-system är anslutna till mer än en zon. Säkerhetsarkitekturen innefattar koncept för spårbarhet och loggning av överträdelser, felaktigheter och attackförsök. Arkitekturen har skyddsmekanismer för konfidentialitet, riktighet och tillgänglighet. Trafik som går mellan två olika zoner loggas alltid. Gränserna mellan två zoner är försedda med larm- och övervakningsfunktioner. Om de administrativa systemen är sammankopplade med de industriella informations - och styrsystemen är de separerade med en demilitariserad zon. Myndigheten för samhällsskydd och beredskap

9. Övervaka kontinuerligt anslutningar och system för att detektera intrångsförsök Exempel på aktiviteter: •

9. Övervaka kontinuerligt anslutningar och system för att detektera intrångsförsök Exempel på aktiviteter: • • Övervaka kontinuerligt externa anslutningar och interna system för att detektera alla former av intrångsförsök. Analysera kontinuerligt loggar och spårdata från intrångsdetekteringssystem. Spara loggar och spårdata från intrångsdetekteringssystem långsiktigt. Dessa behövs när en eventuell efterforskning påbörjas, vilket kan bli aktuellt lång tid efter det initiala problemet. Det bör finnas en roll med ansvar för att fånga upp eventuella varningar från de tekniska systemen. Myndigheten för samhällsskydd och beredskap

9. Övervaka kontinuerligt anslutningar och system för att detektera intrångsförsök Exempel på mål för

9. Övervaka kontinuerligt anslutningar och system för att detektera intrångsförsök Exempel på mål för säkerhetsarbetet: Alla delsystem övervakas dygnet runt med avseende på misstänkt aktivitet. Det finns alltid minst en person i tjänst som omedelbart blir informerad om misstänkta intrångsförsök. Om intrångsförhindrande skydd används finns alltid en dokumenterad riskanalys som säkerställer att systemet inte slås ut på grund av felaktig avvisning av trafik. Logghändelser och larm från alla intrångsdetekteringssystem loggas och sparas på säker plats i minst sex månader. Loggarna från intrångsdetekterings- och incidenthanteringssystemen analyseras regelbundet. Myndigheten för samhällsskydd och beredskap

10. Genomför regelbundet riskanalyser Exempel på aktiviteter: • • Genomför riskanalyser av industriella informations-

10. Genomför regelbundet riskanalyser Exempel på aktiviteter: • • Genomför riskanalyser av industriella informations- och styrsystem. En riskanalys kan utföras för ett avgränsat delsystem eller för en mer övergripande verksamhet. Uppdatera riskanalyserna i enlighet med de metoder som tidigare har fastställts och dokumenterats. Vilken riskanalysmetod som används i det specifika fallet beror på syftet med analysen och vilken information som finns tillgänglig om det aktuella systemet och dess tänkbara hot. Kom ihåg att uppdatera systemkartläggningen (systemdiagram, konfigurationsdatabaser och liknande) vid en uppdatering av riskanalysen om det behövs. Utifrån den verksamhetsanalys som organisationen tidigare genomfört bör det vara definierat vilka system och vilka informationsresurser som är verksamhetskritiska. Myndigheten för samhällsskydd och beredskap

10. Genomför regelbundet riskanalyser Exempel på aktiviteter: • • Dokumenteringen av riskanalysen bör ske

10. Genomför regelbundet riskanalyser Exempel på aktiviteter: • • Dokumenteringen av riskanalysen bör ske på ett förutbestämt sätt och godkännas av ledningen. Dokumentationen bör åtminstone omfatta upptäckta sårbarheter, bedömning av risker samt beskrivning och prioritering av möjliga åtgärder. För att genomföra en riskanalys kan följande information behövas: • Incident- och störningsdata (loggar och material från omvärldsbevakningen), • resultat från genomförda säkerhetsgranskningar (säkerhetstester och administrativa revisioner) samt • checklistor. Myndigheten för samhällsskydd och beredskap

10. Genomför regelbundet riskanalyser Exempel på mål för säkerhetsarbetet: Ledningen har fastslagit hur ofta

10. Genomför regelbundet riskanalyser Exempel på mål för säkerhetsarbetet: Ledningen har fastslagit hur ofta riskanalyser på respektive kritisk informationstillgång ska genomföras. Det finns en dokumenterad metodbeskrivning över riskanalyser som görs på informationstillgångar anslutna till de industriella informations- och styrsystemen. Ledningen fattar alltid det formella beslutet om vilka risker som är oacceptabla. Det finns ett väl fungerande system för att registrera och hantera uppdagade risker. Plötsligt uppdagade risker med stora konsekvenser hanteras alltid omedelbart. Myndigheten för samhällsskydd och beredskap

11. Genomför regelbundet teknisk säkerhetsgranskning Exempel på aktiviteter: • • Genomför regelbunden teknisk säkerhetsgranskning

11. Genomför regelbundet teknisk säkerhetsgranskning Exempel på aktiviteter: • • Genomför regelbunden teknisk säkerhetsgranskning av industriella informationsoch styrsystem och anslutna nätverk. Praktiska tester kan negativt påverka styrsystem och processer, så därför bör dessa enbart utföras efter noggranna förberedelser och efter att man har förstått vilka konsekvenser testerna kan medföra. Använd i stället passiva metoder och undersök exempelvis manuellt hur routrar är konfigurerade. Om aktiva tester ska genomföras, gör då dessa i ett separat testsystem eller i ett styrsystem som inte är i drift. Kontinuerlig omvärldsanalys bör genomföras för att man ska få kunskap om uppdagade sårbarheter som kan påverka de egna informations- och styrsystemen. Myndigheten för samhällsskydd och beredskap

11. Genomför regelbundet teknisk säkerhetsgranskning Exempel på mål för säkerhetsarbetet: Det finns fastställda rutiner

11. Genomför regelbundet teknisk säkerhetsgranskning Exempel på mål för säkerhetsarbetet: Det finns fastställda rutiner och intervall för genomförande av tekniska säkerhetsgranskningar. En säkerhetsgranskning genomförs aldrig utan godkännande av berörd behörig ansvarig. All kartläggning av driftsatta informations- och styrsystem genomförs bara med passiva metoder. Det finns en ansvarig för omvärldsanalys för att säkerställa kännedom om uppdagade sårbarheter i produkter. I detta ansvar ingår regelbundna kontakter med leverantörer. Myndigheten för samhällsskydd och beredskap

12. Utvärdera löpande det fysiska skyddet Exempel på aktiviteter: • Fysiskt skydd bör utföras

12. Utvärdera löpande det fysiska skyddet Exempel på aktiviteter: • Fysiskt skydd bör utföras i flera led – även här gäller principen om djupledsförsvar – och det bör bland annat inkludera: • skydd av känsliga lokaler – fysiskt skalskydd, tillträdesskydd, inbrottslarm, kameraövervakning och bevakning, brandskydd och så vidare. • behörighetskontroll – se till att endast behöriga personer har tillgång till känslig information och viktiga driftlokaler. • spårbarhet som gäller personer och tillgångar – se till att både personer och utrustning stannar i behörigt område – exempelvis bör inte bärbar utrustning såsom laptops för programmering av PLC: er lämnas obevakade. • kablar för kommunikation – minimera risken för att kablar och korskopplingsutrymmen utsätts för avlyssning eller manipulation. • kontroll av miljöfaktorer – exempelvis ventilation och kraftförsörjning. Myndigheten för samhällsskydd och beredskap

12. Utvärdera löpande det fysiska skyddet Exempel på aktiviteter: • Etablera en god nivå

12. Utvärdera löpande det fysiska skyddet Exempel på aktiviteter: • Etablera en god nivå på det fysiska skyddet i samtliga anläggningar och utrymmen. Balansera de fysiska och logiska skydden så att de är harmoniserade. God fysisk säkerhet utan motsvarande insatser på logisk säkerhet, eller det omvända, kan urholka de insatser som gjorts. Myndigheten för samhällsskydd och beredskap

12. Utvärdera löpande det fysiska skyddet Exempel på mål för säkerhetsarbetet: Fysiska placeringar av

12. Utvärdera löpande det fysiska skyddet Exempel på mål för säkerhetsarbetet: Fysiska placeringar av de kritiska informationstillgångarna hålls kontinuerligt dokumenterade och dokumentationen för detta klassas också som en kritisk informationstillgång. Brandskydd och fastighetssystem ses över enligt fastslagna rutiner. Kablar och korskopplingsutrymmen för kommunikation mellan fältutrustning och övriga system är noga kartlagda och skyddade från avlyssning, manipulation och åverkan. Det finns tydliga rutiner för behörighetskontroll till alla platser där kritiska informationstillgångar finns. Allt fysiskt skalskydd till lokaler som härbärgerar kritiska informationstillgångar ses över med regelbundna intervall. Myndigheten för samhällsskydd och beredskap

13. Kontrollera regelbundet att endast säkra och relevanta anslutningar till systemet existerar Exempel på

13. Kontrollera regelbundet att endast säkra och relevanta anslutningar till systemet existerar Exempel på aktiviteter: • • Säkerställ regelbundet att enbart relevanta anslutningar till de industriella informations- och styrsystemen existerar, samt att dessa är tillräckligt säkra. Eliminera onödiga anslutningar. Alla anslutningar som finns ska vara formellt sanktionerade av behörig ansvarig roll. Fjärråtkomst för leverantörer eller åtkomst för personal med jourtjänstgöring kräver särskild tillsyn. För att skapa en godtagbar säkerhet bör kombinationer av olika metoder användas, exempelvis motringning, begränsningar i uppkopplingstiden, förstärkt autentisering samt inskränkningar i vilka kommunikationsmetoder som kan användas och till vilka datorer dessa kan nyttjas. Alla användar- och systemkonton ska endast ha nödvändiga behörigheter. Tillgång till filer, applikationer och systemresurser bör nekas om de inte är explicit tillåtna. Alla konton bör vara försedda med stark autentisering. Myndigheten för samhällsskydd och beredskap

13. Kontrollera regelbundet att endast säkra och relevanta anslutningar till systemet existerar Exempel på

13. Kontrollera regelbundet att endast säkra och relevanta anslutningar till systemet existerar Exempel på mål för säkerhetsarbetet: Alla portar och nätverkstjänster som inte behövs är avaktiverade. Alla aktiva tjänster är dokumenterade. Modem (eller andra mekanismer för fjärråtkomst) avsedda för leverantörer och konsulter kan bara användas under specifika tider och särskilda omständigheter. Alla kopplingar mellan de administrativa systemen och de industriella informationsoch styrsystemen är sanktionerade av behörig ansvarig roll. Anslutningar till fysiska skydd (exempelvis larm, fastighetssystem, videoövervakning, et cetera) är fysiskt separerade från annan utrustning. Myndigheten för samhällsskydd och beredskap

14. Härda och uppgradera systemet i samverkan med systemleverantörer Exempel på aktiviteter: • •

14. Härda och uppgradera systemet i samverkan med systemleverantörer Exempel på aktiviteter: • • Härda och uppgradera industriella informations- och styrsystem så att de blir så säkrade som möjligt. Underhåll systemens säkerhet över tid genom att fortsätta med installation av patchar, uppgraderingar eller liknande. Se till att dokumentera alla förändringar som genomförs. Logga gärna detta i en konfigurationsdatabas. Rekommendationerna gäller även alla kringliggande system och hjälpmedel – exempelvis laptops som används av supporttekniker – för att underhålla och driva funktionen. Vid byte av utrustning eller delkomponenter bör alla nya komponenter härdas vid installationen. All härdning och uppgradering ska hanteras enligt rutiner förändringshantering (se rekommendation 4). Myndigheten för samhällsskydd och beredskap

14. Härda och uppgradera systemet i samverkan med systemleverantörer Exempel på mål för säkerhetsarbetet:

14. Härda och uppgradera systemet i samverkan med systemleverantörer Exempel på mål för säkerhetsarbetet: Det finns en tydlig dokumentation över hur och när systemhärdning ska genomföras eller har genomförts. Alla uppgraderingar, omkonfigurationer och ”patchningar” dokumenteras. Standardlösenord till alla funktioner i all utrustning är utbytta mot kvalificerade lösenord. Samtliga användares åtkomsträttigheter ses över med fastslagna intervall. All tillgång till filer och applikationer i de industriella informations- och styrsystemen nekas om inte rättigheter är explicit givna. Minimala rättigheter och ansvarsåtskillnad och -fördelning råder (”Separation/segregation of duties”). Myndigheten för samhällsskydd och beredskap

15. Genomför utbildning och övning av incidenter i systemen Exempel på aktiviteter: • •

15. Genomför utbildning och övning av incidenter i systemen Exempel på aktiviteter: • • • Se till att alla som har ansvar inom området har upparbetat god kompetens och att de genom kompetensutveckling behåller denna kompetensnivå inom sina respektive ämnesområden. Planera och genomför olika typer av övningar inom området it-relaterade incidenter inom industriella informations- och styrsystem. Som ett inledande steg kan övningar användas som ett lärande moment inom incidenthantering där it har ett centralt inslag. När rutiner, process-steg och kunnande finns på plats kan övningarna istället ha som mål att behålla kompetens men även utvärdera och finjustera rutiner, metoder, verktyg och arbetsformer. Ha en dokumenterad strategi för övnings- och utbildningsverksamhet som regelbundet stäms av med ledningen. Det bör finnas en roll med ansvar för att uppdatera övnings- och utbildningsstrategin. Myndigheten för samhällsskydd och beredskap

15. Genomför utbildning och övning av incidenter i systemen Exempel på mål för säkerhetsarbetet:

15. Genomför utbildning och övning av incidenter i systemen Exempel på mål för säkerhetsarbetet: Det finns ett utbildningspaket som alla måste genomgå innan de ges tillträde till de industriella informations- och styrsystemen. Alla anställda i roller som berör säkerheten i de industriella informations- och styrsystemen deltar minst vartannat år i en seminarie- eller simuleringsövning. Samtliga medarbetare som jobbar med industriella informations- och styrsystem kan redogöra för de vanligaste angreppstyperna som en illasinnad kan använda. Det finns en roll inom verksamheten som ansvarar för personalens kompetensutveckling inom informationssäkerhet i de industriella informations- och styrsystemen. Ledningen godkänner varje år kompetensutvecklings- och övningsplanen. Myndigheten för samhällsskydd och beredskap

16. Följ upp incidenter och bevaka säkerhetsproblem i omvärlden Exempel på aktiviteter: • •

16. Följ upp incidenter och bevaka säkerhetsproblem i omvärlden Exempel på aktiviteter: • • • Sätt ihop en grupp som regelbundet samlas för att diskutera incidenter och riskproblem, och analysera hur dessa kan påverka säkerheten i organisationens informations- och styrsystem. Gruppen bör bestå av representanter från ledningen samt från både processkontrolloch it-sidan. Det är viktigt att skapa en kultur där medarbetare vågar berätta om incidenter och säkerhetsbrister utan att hängas ut som ”syndabockar”. Bevaka även säkerhetsproblem i vanliga it-säkerhetskomponenter då dessa ofta är grunden eller delkomponenter i de it-lösningar som styr de industriella informationsoch styrsystemen. En bugg i Cisco-utrustning eller i en Windows-dator kan vara lika allvarlig som en säkerhetsbugg i programvaran som styr de industriella informationsoch styrsystemen. Myndigheten för samhällsskydd och beredskap

16. Följ upp incidenter och bevaka säkerhetsproblem i omvärlden Exempel på mål för säkerhetsarbetet:

16. Följ upp incidenter och bevaka säkerhetsproblem i omvärlden Exempel på mål för säkerhetsarbetet: Det finns en grupp som samlas vid regelbundna intervall för att kartlägga nya hotbilder med avseende på händelser i omvärlden. Det finns en grupp som samlas vid regelbundna intervall för att analysera incidenter i den egna verksamheten. Medarbetare som jobbar med industriella informations- och styrsystem kan redogöra för det senaste halvårets incidenter i den egna verksamheten. Medarbetare som jobbar med industriella informations- och styrsystem kan redogöra för de informationssäkerhetsincidenter i omvärlden under det senaste halvåret som är relevanta för verksamheten. Analyser av incidenter återrapporteras alltid till berörda medarbetare. Myndigheten för samhällsskydd och beredskap

17. Samverka i användarföreningar, standardiseringsorgan och andra nätverk för säkerhet i industriella informations- och

17. Samverka i användarföreningar, standardiseringsorgan och andra nätverk för säkerhet i industriella informations- och styrsystem Exempel på aktiviteter: • • • Samverka i användarföreningar, sociala nätverk och organisationer som kompetensutvecklar och stödjer medlemmarna i deras dagliga säkerhetsarbete. Se till att representationen dokumenteras och att aktiviteter som genomförs i respektive nätverk kontinuerligt avrapporteras till berörda medarbetare. Stäm av representationen med ledningen och motivera på vilket sätt deltagande i nätverken stärker säkerheten i verksamheten. Myndigheten för samhällsskydd och beredskap

17. Samverka i användarföreningar, standardiseringsorgan och andra nätverk för säkerhet i industriella informations- och

17. Samverka i användarföreningar, standardiseringsorgan och andra nätverk för säkerhet i industriella informations- och styrsystem Exempel på mål för säkerhetsarbetet: Verksamheten finns representerad i minst ett aktivt nationellt nätverk med fokus på informationssäkerhet i industriella informations- och styrsystem. Det finns en tydlig dokumentation över vilka personer som deltar i vilka nätverk. Medarbetare som deltar i något nätverk återrapporterar kontinuerligt till övriga medarbetare och till ledningen. Samtliga berörda medarbetare känner till vilka nätverksamheten deltar i. Omfattning av deltagande i nätverk och standardiseringsorgan stäms årligen av med ledningen. Myndigheten för samhällsskydd och beredskap

www. msb. se/ics Myndigheten för samhällsskydd och beredskap

www. msb. se/ics Myndigheten för samhällsskydd och beredskap

INFRASTRUKTUR EBISNIS Infrastruktur Dasar EBisnis Infrastruktur ebisnis adalahINFRASTRUKTUR EBISNIS Infrastruktur Dasar EBisnis Infrastruktur ebisnis adalah
INFRASTRUKTUR WAREHOUSE KATEGORI INFRASTRUKTUR DW n n InfrastrukturINFRASTRUKTUR WAREHOUSE KATEGORI INFRASTRUKTUR DW n n Infrastruktur
SKRA Wykonaa Gabriela eptuch CECHY SKRY Skra pokrywaSKRA Wykonaa Gabriela eptuch CECHY SKRY Skra pokrywa
Infrastruktur TI dan Teknologi baru Heru Lestiawan INFRASTRUKTURInfrastruktur TI dan Teknologi baru Heru Lestiawan INFRASTRUKTUR
Infrastruktur Jaringan Komputer Suatu infrastruktur jaringan terdiri dariInfrastruktur Jaringan Komputer Suatu infrastruktur jaringan terdiri dari
Pemodelan Kapasitas Infrastruktur EBusniessECommerce Teknologi Infrastruktur 1 SasaranPemodelan Kapasitas Infrastruktur EBusniessECommerce Teknologi Infrastruktur 1 Sasaran
Perencanaan Kapasitas Infrastruktur eBisnis Perencanaan Infrastruktur Program MagisterPerencanaan Kapasitas Infrastruktur eBisnis Perencanaan Infrastruktur Program Magister
PERENCANAAN KAPASITAS INFRASTRUKTUR eBisnis PERENCANAAN INFRASTRUKTUR Program MagisterPERENCANAAN KAPASITAS INFRASTRUKTUR eBisnis PERENCANAAN INFRASTRUKTUR Program Magister
EBusiness Infrastruktur EBusiness Dr Lana Sularto 1 InfrastrukturEBusiness Infrastruktur EBusiness Dr Lana Sularto 1 Infrastruktur
EBusiness Infrastruktur EBusiness Dr Lana Sularto 1 InfrastrukturEBusiness Infrastruktur EBusiness Dr Lana Sularto 1 Infrastruktur
Rancangan Infrastruktur BusinessDriven 1 IK 305 Infrastruktur TeknologiRancangan Infrastruktur BusinessDriven 1 IK 305 Infrastruktur Teknologi
PROSES MANAJEMEN INFRASTRUKTUR Perencanaan Infrastruktur Oleh Dr IrPROSES MANAJEMEN INFRASTRUKTUR Perencanaan Infrastruktur Oleh Dr Ir
Din nedir ne deildir Din Sosyolojisi n DinDin nedir ne deildir Din Sosyolojisi n Din
Presentation On DIN What is DIN Din meansPresentation On DIN What is DIN Din means
Din ln och din utveckling Din ln ochDin ln och din utveckling Din ln och
Myndigheten fr delaktighet Full delaktighet fr alla oavsettMyndigheten fr delaktighet Full delaktighet fr alla oavsett
Tandskterska Vad r en Yhutbildning YH myndigheten BeviljarTandskterska Vad r en Yhutbildning YH myndigheten Beviljar
Myndigheten fr arbetsmiljkunskap Nader Ahmadi Forskarna p slottetMyndigheten fr arbetsmiljkunskap Nader Ahmadi Forskarna p slottet
www skolutveckling se Myndigheten fr skolutveckling www skolutvecklingwww skolutveckling se Myndigheten fr skolutveckling www skolutveckling
Myndigheten fr arbetsmiljkunskap Nader Ahmadi Forskarna p slottetMyndigheten fr arbetsmiljkunskap Nader Ahmadi Forskarna p slottet
PartARA ARA GEN 300 Myndigheten skal utfre adgangskontrollPartARA ARA GEN 300 Myndigheten skal utfre adgangskontroll
Mnskliga rttigheter tillgnglighet och funktionshinderspolitik Ulrika Gani MyndighetenMnskliga rttigheter tillgnglighet och funktionshinderspolitik Ulrika Gani Myndigheten
Luftfartssystemet och myndigheten Sknheten och Odjuret Magnus MolitorLuftfartssystemet och myndigheten Sknheten och Odjuret Magnus Molitor
PartARA ARA GEN 300 Myndigheten skal utfre adgangskontrollPartARA ARA GEN 300 Myndigheten skal utfre adgangskontroll