Utbildningsdag om informationsskerhet Jeanna Thorslund Jurist och Samordnare

Utbildningsdag om informationssäkerhet Jeanna Thorslund, Jurist och Samordnare Informationssäkerhet, SKL & Leif Carlson, Informationssäkerhetschef Inera AB

Avdelningen för Digitalisering, Center för e. Samhället Sektionschef Åsa Zetterberg E-hälsa Patrik Sundström Skola och lärande Johanna Karlén Näringsliv och arbete Bengt Svenson Samhällsbyggnad, transporter och miljö Daniel Antonsson Kultur, fritid och besöksnäring Demokrati och delaktighet Bengt Svenson Anders Nordh Gemensamma funktioner och tjänster, Anna Gillquist Grundläggande förutsättningar (arkitektur, informationssäkerhet, juridik), Ulf Palmgren, Jeanna Thorslund, Sarah Meunier J

L Inera AB

J Informationssäkerhet prioriterat område för SKL § Från planeringsdokument för 2015: ”IT och datakommunikation är kritiskt i stora delar av kommuner och landstings verksamhet, men kunskapen om informationssäkerhetens betydelse och roll finns inte i tillräcklig utsträckning hos medlemmar. SKL gör bedömningen att en kraftsamling behöver genomföras där kunskapen höjs likväl som förståelsen för de möjligheter som informationssäkerheten skapar om det beaktas tillräckligt tidigt i utvecklingen. ”

J Agenda för dagen § Vad är informationssäkerhet och varför är det viktigt? § Hur får man in informationssäkerhet i verksamhetens processer? § Verktyg och metoder § Hur går man från teori till verklighet?

J Vad är informationssäkerhet och varför är det viktigt?

J Vad är Informationssäkerhet? Information som är viktig för verksamheten Finns något som kan hota den? Verksamhetens mål Skydda den

Definition Informationssäkerhet – SIS-standard ISO 27001 Informationssäkerhet Flytta fokus från IT till verksamhet! Administrativ säkerhet Teknisk säkerhet Fysisk säkerhet IT-säkerhet Datasäkerhet Kommunikationssäkerhet J

J Ansvar och roller • Genomföra • Följa avtal och instruktioner • Ansvar • Beställare • Behov • Personuppgiftsansvar Leverantörer Verksamheten IT-Drift Intern IT • Förmedla krav • Stödja verksamheten

J Vad är Informationssäkerhet? Hur länge kan vi vara utan den? Vem har ändrat? Information Spårbarhet Tillgänglighet Hur viktigt att den är rätt? Riktighet Hur hemlig är den? Konfidentialitet

Ett annat sätt att beskriva samma sak Patientsäkerhet Tillgänglighet Konfidentialitet Riktighet Skyddsvärt Spårbarhet Informationssäkerhet Skyddsåtgärder Administrativ säkerhet Regler & Roller Patientintegritet Rutiner & utbildning Insikt & Acceptans Uppföljning & revision Fysisk säkerhet Teknisk säkerhet Kommunika tionssäkerhet ITsäkerhet L

J Varför är det viktigt? Lagkrav Bevara tillit Undvika negativa händelser Kvalitet Verksamhet ens behov

Undersökning av Askus och Handelshögskolan § Syfte med studien att bedöma risk företag med att inte hantera eller få ”kris” inom olika ansvarsområden § Metoder för och effekt av åtgärder för riskminimering § 10 000 respondenter, bl. a. konsumenter § Prof. Richard Wahlund, Handelshögskolan i Stockholm § Daniel Dellham, Askus CR-Monitor

Källa: Askus CR-Monitor

L ” Om ni inte använder det här skyddet, kommer ni att råka ut för en katastrof ” Känner ni igen detta. . .

L … eller detta … ” Incidenten gjorde att vi fick medel att åtgärda det vi tjatat och bett om i åratal. - Vad var det jag sa…. . ”

L

L Låt oss vända på steken!

L Alternativt förhållningssätt En mer hållbar strategi är att fokusera på det som upplevs som positivt t. ex. nyttoeffekter och att nå verksamhetens mål. – Det kommer vi ihåg! Naturligtvis en balans mellan att hantera risker/hot och möjlighet att nå mål och nytta. – Undvika naivitet och ”strutsbeteende”

Parallella synsätt Information som är viktig för verksamheten Finns något som kan hota den? Skydda den Mål som är viktiga för verksamheten Finns något som kan hindra måluppfyllnad? Undvik hindren och nå målen Informationssäkerhet = Kvalitet

J Lagkrav på informationssäkerhet? LSS So. L PDL PUL Säk. L OSL

J Kommande lagkrav på informationssäkerhet! LSS So. L PDL Dataskyddsförordning EU Säk. L OSL

L Hur får man in informationssäkerhet i verksamhetens processer?

J Informationssäkerhet i olika processer ITförvaltning Projekt Intern styrning Upphandling

J Projektarbete och Informationssäkerhet

J Time over Quality!!! Tid Kvalitet

Projektbeställning och kvalitet Tid Rättsäkerhet God kvalitet Patientsäkerhet Trygghet Integritet Informationssäkerhet J

J När ska informationssäkerhet tas in? • Beskriv informationsprocessen • Klassa • Preliminär bedömning av säkerhetskrav Förstudie Projektarbete / Förändring • Beslut om klassning • Beslut om kravnivå • Genomföra • Införa • Godkänn Resultat / Införande Förvaltning • Ny analys vid förändring • Kontroll och uppföljning

J Exempel: Upphandlingsprocess Behovsbeskrivning Informationsprocess? Kravformulering Krav som pekar mot effekten vid införandet Leveransgodkänna nde? Typ av information ? Skyddsnivåer? Särskilda krav? Färdiga krav? Använd klassning

J Informationssäkerhet för IT-förvaltning i vardagen Leverantörer • Uppföljning • Förändringar • Utveckling Systemförvaltning • • Klassning Riskanalys Budget Uppföljning, brister Medarbetare • Utbildning • Awareness

L

Mognadstrappan Upprätthålla kontinuerligt Strukturerat & Genomgående Genomföra & Införa Klassa & Prioritera Ordning & Reda

Mognadstrappan Act Plan Upprätthålla kontinuerligt Strukturerat & Genomgående Genomföra & Införa Klassa & Prioritera Ordning & Reda Check Do

J Verktyg och metoder

L Informationssäkerhet - Verktygslådan: KLASSA EASY Risk- och Sårbarhetsanalyser Ledningssystem för kvalitet Q Informationsklassning DISA RSA LIS Utbildning Ledningssystem för Informationssäkerhet

L Act Plan Check Do

L Utbildning och… Ledning Medarbetare Användare

Insikt!

Deltagare WS för informationsklassning och riskanalys • Specialist? • IT-systemförvaltare Leverantör Verksamhet IT-drift Intern IT • Verksamhetschef • Användare • Informationssäkerhetssamordnare • Jurist? • Arkivarie? • Systemförvaltning • IT-arkitekt L

Riskhantering Risk S K R 1. Risk att…. 3 2. Risk att…. 4 1 2 3. Risk om…. 1 4 2 4. Risk att…. 3 4 6 Fokusera inte för mycket på metoden – det viktigaste är att risker hanteras! L

J Informationsklassificering § Bestämmer värdet på informationen § Utgår från verksamhetens behov § Blir en beställning om önskat skydd § Utgår ifrån Kriterierna: - Riktighet - Konfidentialitet - Tillgänglighet - Spårbarhet

J

J Skyddsnivåer 4 Allvarlig konsekvens Mycket hög skyddsnivå 3 Betydande konsekvens Hög skyddsnivå 2 Måttlig konsekvens Normal skyddsnivå (grundnivå) 1 Obetydlig konsekvens för verksamheten Låg skyddsnivå

J KLASSA – verktyg för informationsklassning Informationssäkerhetsklassa • Riktighet • Konfidentialitet • Tillgänglighet • Spårbarhet Handlingsplan Upphandlingskrav • Riktad mot verksamhet • Riktad mot IT • Ger ett underlag

J KLASSA § Du hittar KLASSA här: https: //klassa-info. skl. se/ § Filmer om KLASSA: http: //play. skl. se/video/filmen-om-klassa http: //play. skl. se/video/sa-funkar-klassa

L HUR GÅR MAN FRÅN TEORI TILL VERKLIGHET?

Sammanfattning: Vad är informationssäkerhet och varför är det viktigt? § I enskilda projekt /System: - Verksamhetens ansvar att analyser sker - KLASSA - Efterfråga riskanalyser - Återrapportering § Strategisk nivå: - Övergripande Policydokument krävs - Instruktioner och anvisningar om - Behörighet och loggning - ATT analyser ska göras och metod - Uppföljning

Mål och kvalitet § Enas om mål för informationssäkerheten - Sätt i förhållande till verksamhetsmålen § Förankra hos övriga ledningen § Övergripande styrdokument? § Långsiktig plan? § Kvalitetsledningssystem? - Komplettera styrdokument som redan finns

Sammanfattning: Hur får man in informationssäkerhet i verksamhetens processer? § Se över projektmodellen - Riskanalys för säkerhet § Riktlinjer för upphandling - Krav på säkerhet ska ställas § Systemförvaltningsmodellen - Årliga uppföljningar § Strategisk styrning - Ledningssystem!

Sammanfattning: Verktyg och metoder § Informationsklassificera - Nyttigt att enas om informationsprocess - Vad är viktigt - Bättre chans att säkerhetsåtgärder kan genomföras - Ta hjälp av KLASSA § Risk- och sårbarhetsanalys - Verksamheten ska ta besluten - Ta tid till diskussion - Dokumentera och gå tillbaka

Goda råd: v Betrakta informationssäkerhet som en aspekt av kvalitet v Bättre att göra något än inget! v Sunt förnuft! v Värna individernas tillit! v Hoppa inte över riskanalyser! v Beställ kvalitet – inte tid!

TACK FÖR UPPMÄRKSAMHETEN! jeanna. thorslund@skl. se leif. carlson@inera. se