240 likes | 570 Vues
Myndigheten för samhällsskydd och beredskap – MSB Samhällets informationssäkerhet. Enheten för nationell informationssäkerhet. Wiggo Öberg 23 år med informations- och IT-säkerhet. Systemvetare/systemutv. AB Bofors ADB-säkerhetschef Boforskoncernen Konsult infosäk CAP Programator
E N D
Myndigheten för samhällsskydd och beredskap – MSBSamhällets informationssäkerhet Enheten för nationell informationssäkerhet
Wiggo Öberg 23 år med informations- och IT-säkerhet • Systemvetare/systemutv. AB Bofors • ADB-säkerhetschef Boforskoncernen • Konsult infosäk CAP Programator • IT-säkerhet Statliga ekonomisystem, RRV • IT-säkerhetschef RFV • Expertroller informationssäkerhet på Statskontoret, Verva, MSB
2 2 16 Kommunikationsdirektör Ekonomi- och planeringsdirektör HR-direktör Chefsjurist Generaldirektör Överdirektör Internrevisionen Avdelningen förverksamhetsstöd Karlstad Service- och säkerhetsenheten Karlstad Rättsenheten Karlstad Ekonomienheten Karlstad Personalenheten Karlstad Kommunikationsenheten Karlstad IT-enheten Karlstad och Stockholm Avdelningen för risk- och sårbarhets-reducerande arbete Karlstad Enheten för analys och planeringsstöd Karlstad Enheten för den enskildes säkerhet Karlstad och Stockholm Enheten för den brand- skydd och brandfarlig vara Karlstad Enheten för farliga ämnen Karlstad Enheten för skydd av samhällsviktig verksamhet Karlstad Enheten för informationssäkerhet Stockholm Avdelningen för utbildning, övning och beredskap Karlstad Enheten för utveckling av räddningstjänst och krishantering Karlstad Enheten för lednings-system och beslutsstöd Karlstad Utbildningsenheten Karlstad Övningsenheten Stockholm Enheten för affärsstyrning av Rakel Stockholm Enheten för infrastruktur Rakel Stockholm Enheten för kundstöd Rakel Stockholm och Sandö Revinge Sandö Avdelningen för samordning och insats Stockholm Enheten för samordning Stockholm Enheten för omvärld och beredskap Karlstad och Stockholm Enheten för insatser Karlstad Enheten för insatspersonal Karlstad Enheten för materiel och stödresurser Kristinehamn och Karlstad Avdelningen för utvärdering och lärande Stockholm Enheten för strategisk analys Stockholm Enheten för inriktning och planering Stockholm Enheten för inriktning av forskning Stockholm Tillsynsenheten Karlstad Enheten för lärande av olyckor och kriser Karlstad Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text, Text Revinge Utbildnings- och utvecklingsenhet 1 Utbildnings- och utvecklingsenhet 2 Utbildnings- och utvecklingsenhet 3 Utbildningsstödenhet Internatenheten Teknik- och övningsenheten Sandö Utbildnings- och utvecklingsenhet Utbildningsenhet SMO Utbildningsenhet övrig utbildning Utbildningsstödsenhet Internatenheten Teknik- och övningsenheten
MSB - mandat informationssäkerhet • SFS 2008:1002Utfärdad: 2008-11-20Förordning (2008:1002) med instruktion för Myndigheten för samhällsskydd och beredskapVerksamhetsområde1 § Myndigheten för samhällsskydd och beredskap har ansvar för frågor om skydd mot olyckor, krisberedskap och civilt försvar, i den utsträckning inte någon annan myndighet har ansvaret. Ansvaret avser åtgärder före, under och efter en olycka eller en kris. Myndigheten ska1. utveckla och stödja samhällets beredskap mot olyckor och kriser och vara pådrivande i arbetet med förebyggande och sårbarhetsreducerande åtgärder,2. arbeta med samordning mellan berörda aktörer i samhället för att förebygga och hantera olyckor och kriser,3. bidra till att minska konsekvenser av olyckor och kriser,4. följa upp och utvärdera samhällets krisberedskapsarbete, och5. se till att utbildning och övningar kommer till stånd inom myndighetens ansvarsområde. • 6 § Myndigheten ska stödja och samordna arbetet med samhällets informationssäkerhet samt analysera och bedöma omvärldsutvecklingen inom området. Myndigheten ska rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan föranleda behov av åtgärder inom olika nivåer och områden i samhället.
MSB - Uppdrag inom området informations-säkerhet och medieberedskap • Stödja och samordna arbetet med samhällets informationssäkerhet. Uppgiften riktar sig såväl till enskilda individer som till näringsliv, kommuner och andra myndigheter och organisationer. • Analysera och bedöma omvärldsutvecklingen inom området • Rapportera till regeringen om förhållanden på informationssäkerhetsområdet som kan föranleda behov av åtgärder inom olika nivåer och områden i samhället • Redovisa vilka åtgärder som myndigheten och andra berörda myndigheter har genomfört utifrån den nationella handlingsplanen för informationssäkerhet • Samordna arbetet med att säkra kryptografiska funktioner • Stödja medieföretagens beredskapsplanering. • Högst 15 000 000 kronor får användas för drift och vidmakthållande av vissa reservfunktioner inom etermedia
Nationellt informationssäkerhetsarbete Finans- departementet Närings-departementet Försvars-departementet Justitie-departementet MSB Stödja och samordna arbetet med samhällets informationssäkerhet E-Delegationen PTS (Post- och Telestyrelsen) Internetsäkerhet Sitic (CERT) Rikskriminalpolisen IT-relaterad brottslighet Säpo Rikets säkerhet /Säkerhetsskyddslagen Säkerhetsanalyser FMV (Försvarets Materielverk) Certification Body Common Criteria (CC) FRA (Försvarets Radioanstalt) Penetrationstester Signalskydd Datainspektionen Personlig integritet Försvarsmakten
SAMVERKAN Samverkan en absolut förutsättning för att lyckas… • Informationssäkerhetsrådet • Ca 15 externa ledamöter • SAMFI - samverkansgrupp för informationssäkerhet • PTS/Sitic, RPS/SÄPO, FM, FRA, FMV/Csec, MSB • Fidi SCADA • Grupp för informationsdelning med inriktning på digitala kontrollsystem • Fidi FINANS • Grupp för informationsdelning med inriktning på finanssektorn • Nätverk m m • SNITS (myndigheter), NIS (landsting), SWITS (forskning) mfl. Samverkansgrupper
Handlingsplan för samhällets informationssäkerhet • Lämnades till regeringen 2008-04-02 • Består av 47 åtgärdsförslag för att förbättra samhällets informationssäkerhet med konkretiseringar kring • Kostnad • Tid • Ansvar • Berör hela samhället – från normaltillstånd till kris • Viktiga utgångspunkter • KBM:s lägesbedömning 2008 (Hot, sårbarheter och risker) • Infosäkutredningens rapporter • Bred samverkan med aktörer från hela samhället
Åtgärdsområden i handlingsplanen • Författningsöversyn och föreskriftsrätt • Informationssäkerhet i verksamheter • Kompetensförsörjning • Informationsdelning, samverkan och respons • Kommunikationssäkerhet • Säkerhet i produkter och system • Förvaltning av handlingsplanen
Några pågående projekt med Nationella handlingsplanen för informationssäkerhet som grund • Föreskriftsarbete • Styrning av statliga myndigheters informationssäkerhetsarbete (VERVAFS till MSBFS 2010-02-01) • Krav på FM-godkända krypto för civilt bruk (KBMFS till MSBFS) • Obligatorisk incidentrapportering för statliga myndigheter • Krav på användning av evaluerade produkter • ”SVISA” – Projekt för att utforma regelverk, riktlinjer och stöd för organisationers informationssäkerhetsarbete. • SCADA – Projekt för utveckling av området ”industriella kontrollsystem”
Projektet SVISA – Stöd för Verksamheters Informationssäkerhetsarbete • Område 1 – Ramverk, modeller och metoder • Område 2 – Vägledningar och informationsmateriel • Område 3 – Produktkrav och upphandling • En viktig grund är etablerade standarder. • 27000-serien ger god helhetssyn på informationssäkerhet • Associerade standarder kan ge bra stöd inom vitala områden • Översyn av BITS/BITS-plus • Viktigt med stödresurser i form av konsulter och produkter. • Utveckling behövs!!
SVISA struktur • Grupp för projektstyrning • Referensgrupp: SAMFI • Delprojekt 1: Modeller, metoder och ramverk, ex: • Nationellt ramverk för informationssäkerhet • Värderingssystem för informationssäkerhet • Delprojekt 2: Vägledningar och informationsmaterial, ex: • Informationsmaterial till myndighetsledningar • Informationspaket gällande säkra kryptografiska produkter • Delprojekt 3: Produktkrav och upphandling, ex: • Rekommendationer för kravställning vid upphandling • Bibliotek med CC-evaluerade skyddsprofiler
Modell för klassificering av information(Rekommendation) Informationssäkerhetsaspekter • Konfidentialitet, riktighet och tillgänglighet • Definitioner både från SIS Handbok 550 och LIS • Modellen kan kompletteras med flera aspekter som t ex spårbarhet hos enskilda organisationer Konsekvensnivåer • Vad händer vid förlust av konfidentialitet, riktighet eller tillgänglighet hos viss information? • Ej likställt med skyddsnivå • Fyra nivåer av konsekvensnivåer: • Allvarlig • Betydande • Måttlig • Ingen/försumbar
Säkerhet i industriella kontrollsystem (SCADA)- Pågående aktiviteter 2009 - • Medvetandehöjning • Vägledningsdokument (”SCADA-guide”) • Teknisk utbildning för infrastrukturoperatörer • Föreläsningar och presentationer • Samverkan och informationsdelning • FIDI-SC (nationell POS) • Ag.FIDI-SAMFI-SC (arbetsgrupp SAMFI) • E-SCSIE (Europeisk POS, MSB ordförande) • MPCSIE (Internationell, Gov. only) • Praktiska åtgärder för att öka säkerheten (skapa en teknisk plattform)
Säkerhet i industriella kontrollsystem (SCADA)-Teknisk plattform 2009 - Tekniska SAMFI-aktiviteter (urval): • Praktisk säkerhetsgranskning av kontrollsystem i kritisk infrastruktur (PASS-projektet). Samverkan KBM, FOI, FRA, Säpo och näringsliv. • Övning och utbildning vid Idaho National Lab, november 2008 (21 personer, teknisk personal från FM, FOI, FRA, KBM, Säpo), upprepning • 2010
Vägledning till ökad säkerhet i digitala kontrollsystem i samhällsviktig verksamhet
Vad är Common Criteria? • Common Criteria är en standard för hur man ställer krav, deklarerar och evaluerar säkerhet i IT-produkter och ‑system i deras användningsmiljöer • CC är ett ramverk för hur man beskriver de funktionella kraven på IT-säkerhet i en produkt eller ett system, inte en samling krav i sig • CC fokuserar på behov av informationssäkerhet utgående från krav på konfidentialitet, tillförlitlighet och tillgänglighet som uppstår på grund av avsiktliga eller oavsiktliga hot • CCRA - en internationell samarbetsorganisation för ömsesidigt erkännande av certifikat för IT-produkter och IT-system enligt standarden Common Criteria. • MSB är svensk signatär i CCRA • FMV är den svenska certifieringsorganisationen FMV/CECE Mer info:http://www.csec.se http://www.commoncriteriaportal.org
Idéskiss - Övergripande process för samhällets informationssäkerhet Anm: Sker i samverkan med informationssäkerhetsrådet, SAMFI och andra aktörer
Frågor? Wiggo Öberg wiggo.oberg@msb.se www.msb.se