SÄKERHETSHANDBOKEN
Jimmy PerssonChef Utveckling & Sä[email protected] 640
STADSNÄTEN OCH FÖRENINGENS NÄTSÄKERHETSARBETE
Seminariepass: 8
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
SÄKERHETSHANDBOKENS INNEHÅLL1. Inledning
2. Grunder
3. Hot, hotbild, hotbeskrivning
4. Lagar och förordningar
5. Riskanalys
6. Säkerhetsorganisation
7. Säkerhetsskyddsarbetea) Säkerhetsanalys enligt säkerhetsskyddslagen
b) Sveriges säkerhet
c) Personal och anläggningar
8. Informationssäkerhet
9. IT-säkerhet
10. Driftsäkerhet
11. Samverkana) SiSG och NTSG
b) Säkerhetsskyddsråd
12. Referenser och hänvisningar
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
3. HOT, HOTBILDERHOTBESKRIVNINGAR
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Omvärlden!
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Relation och magnitud mellan olika säkerhetsområden
IT-säkerhet
Informationssäkerhet
Fysisk säkerhet(Driftsäkerhet)
Säkerhets-skydd
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
4. LAGAR OCHFÖRORDNINGAR
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Sveriges nationella säkerhetsstrategi
Ny nationell informations-och cybersäkerhetsstrategi
Samhället ställer nya krav!
Grundläggande säkerhet för IoT
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Samhället ställer nya krav!
Föreskrifter totalförsvarNULÄGE
1995:1
PTS föreskrifter om fredstida planering för totalförsvarets
behov av telekommunikation m.m.
(gamla ”telelagen”)
Inventering av behovsbild inkl.
rättsliga bedömning (mandat mm)
Dialog med aktörer
2019
PTS nya föreskrifter Totalförsvar
klara
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Översyn av säkerhetsskyddslagen (1996:627)
- SOU 2015:25
Informationssäkerhet
• Administrativ informationssäkerhet: Till de administrativa informationssäkerhetsåtgärderna hör åtgärder som tar sikte på rutiner, arbetsflöden och arbetsledning.
• It-säkerhet: It-säkerheten innefattar såväl rutiner och handhavanden i och kring informations-system som tekniska krav på säkerhetsfunktioner i systemen och dess komponenter.
• Kommunikationssäkerhet: Kommunikationssäkerhet syftar i huvudsak till att förhindra eller försvåra avlyssning eller obehörig påverkan av information i kommunikationssystem.
Samhället ställer nya krav 2018:585 Säkerhetsskyddslag
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Samhället ställer nya krav! - IoT
Grundläggande säkerhet för IoT
November 2017
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Lagkraven – lag, förordning, föreskrift
Lagen om elektronisk kommunikation (2003:389) kravställer att det finns ett strukturerat och kontinuerligt informationssäkerhetsarbete för en aktör som handhar allmänt kommunikationsnät.
Det finns en Lag, förordning samt föreskrifter där det står beskrivet de krav som ställs på en nätägare gällande informationssäkerhet.
Lag (2003:389) om elektronisk kommunikation: 5 kap. 6 b § samt 6 kap. 3 §
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Förordning (2003:396) om elektronisk kommunikation: 34 a §, 34 b § samt 37 §
PTSFS 2014:1 PTS föreskrifter om allmänna råd om skyddsåtgärder för behandlade uppgifter: 3 §
Lagkraven – lag, förordning, föreskrift
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
7. SÄKERHETS-SKYDDSARBETE
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
• Skydd mot brott som kan hota Sveriges säkerhet• Skydd av hemliga uppgifter som rör rikets säkerhet• Skydd mot terrorism och sabotage• Säkerhetsklassning av personal och anläggningar • Säkerhetsklassad NOC• Säkerhetsklassade upphandling för kritisk infrastruktur• Beredskap för att möta civilt försvar• Säkerhetsklassificering av dokument och handlingar• Sekretesshantering av information
Säkerhetsskydd & sekretess
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Öppna källor
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
1 april 2019ny
SäkerhetsskyddslagSäkerhetsskyddslag (2018:585): https://lagen.nu/2018:585Säkerhetsskyddsförordning (2018:658): https://lagen.nu/2018:658
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
SÄKERHETSSKYDD
Informationssäkerhet Fysisk säkerhet Personalsäkerhet
Säkerhetsprövning
Säkerhetsklass 1 Säkerhetsklass 2 Säkerhetsklass 3
Säkerhetsskyddsavtal
Kvalificerat hemlig vid en synnerligen allvarlig skada
Hemlig vid en allvarlig skada
Konfidentiell vid en inte obetydlig skada
Begränsad hemlig vid endast ringa skada
Skyddslagen (2010:305) (Inte en rak koppling men kan påverka)
Säkerhetsskyddsklassificering
Säkerhetsskyddsklassificerade uppgifter
Säkerhetskänslig verksamhet
Säkerhetsskyddslag (2018:585)Skyldigheter för den som bedriver säkerhetskänslig
verksamhet
Säkerhetsskyddsanalys(Utreda behovet av säkerhetsskydd
samt dokumentera det)
Planera och vidta de säkerhets-Skyddsåtgärder som behövs medhänsyn till verksamhetens art ochomfattning, förekomst av säkerhets-klassificerade uppgifter och övriga omständigheter.
Kontrollera säkerhetsskyddet i den egnaverksamheten, anmäla och rapporterasådant som är av vikt för säkerhets-skyddet och i övrigt vidta de åtgärder somkrävs.
Så långt det är möjligt ska säkerhets-skyddsåtgärderna utformas så att deinte medför någon skada eller annanolägenhet för andra allmänna ellerenskilda intressen.
1) Det i upphandlingen förekommersäkerhetsskyddsklassificerade upp-gifter i säkerhetsklassen konfidentiell eller högre, eller2) Upphandlingen i övrigt avser ellerger leverantören tillgång till säkerhets-känslig verksamhet av motsvarandebetydelse för Sveriges säkerhet.
Åtgärder till förstärkt skydd för byggnader,andra anläggningar, områden och andraobjekt mot sabotage, terroristbrott, spionerisamt röjande i andra fall av hemliga uppgiftersom rör totalförsvaret och grovt rån.
Uppgifter ska delas in i säkerhetsskyddsklasserutifrån den skada som ett röjande av uppgiftenkan medföra för Sveriges säkerhet.
Motsvarande om de omfattas av ett internationelltåtagande om de inte redan har klassificerats.Utifrån skada som ett röjande av uppgiften kan medföraför Sveriges förhållande till skadan.
Uppgifter som rör säkerhetskänslig verksamhet ochsom därför omfattas av sekretess enligt offentlighets-och sekretesslagen (2009:400) eller som skulle haomfattas av sekretess enligt lagen, om den hade varittillämplig.
Verksamhet som är av betydelse för Sveriges Säkerhet eller omfattas av ett för Sverige för-pliktande internationellt åtagande om säkerhets-skydd.
1) I en omfattning som inte är ringa får del av uppgifter i säkerhetsskydds-klassen kvalificerat hemlig, eller
2) till följd av sitt deltagande i verk-samheten har möjlighet att orsakasynnerligen allvarlig skada förSveriges säkerhet.
1) I en omfattning som inte är ringa får del av uppgifter i säkerhetsskydds-klassen hemlig,
2) I ringa omfattning får ta del av uppgifter i säkerhetsskyddsklassenkvalificerat hemlig, eller
3) till följd av sitt deltagande i verk-samhet har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.
1) Får del av uppgifter i säkerhetsskyddsklassen konfidentiell,
2) I ringa omfattning får ta del av uppgifter i säkerhetsskyddsklassenhemlig, eller
3) till följd av sitt deltagande i verk-samhet har möjlighet att orsaka allvarlig skada för Sveriges säkerhet.
1) Förebygga att säkerhetsklassificerade uppgifter obehörigen röjs, ändras, görs otillgängliga eller förstörs
2) Förebygga skadlig inverkan i övrigt på uppgifter och informationssystem som gäller säkerhetskänslig verksamhet.
1) Förebygga att obehöriga får tillträde till områden, byggnader och andra anläggningar eller objekt där de kan få tillgång till säkerhetsskydds-klassificerade uppgifter eller där säkerhetskänslig verksamhet i övrigt bedrivs.
2) Förebygga skadlig inverkan på sådana områden, byggnader, anläggningar eller objekt som avses i 1
1) Förebygga att personer som inte är pålitliga från säkerhetssynpunkt deltar i en verksamhet där de kan få tillgång till säkerhetsskyddsklassificerade uppgifter eller i en verksamhet som av någon annan anledning är säkerhetskänslig.
2) Säkerställa att de som deltar i säkerhetskänslig verksamhet har tillräcklig kunskap om säkerhetsskydd.
Skydd av säkerhetskänslig verksamhet mot spioneri,sabotage, terroristbrott och andra brott som kan hotaverksamheten samt skydd i andra fall av säkerhetsskydds-klassificerade uppgifter.
Grundläggande förståelse
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Har betydelse för Sveriges säkerhet enligt ny säkerhetsskyddsreglering
Yttre säkerhet Inre säkerhet
Hantering av säkerhetsskyddsklassificerade
uppgifter
Sveriges säkerhetGår det att definiera? Eller är det en subjektiv tolkning?
Hantering av stora mängder information som inte är säkerhetsklassificerad, men som av
andra skäl kan betraktas som säkerhetskänslig
Territoriellsuveränitet
Nationelltförsvarsförmåga
Politisk självständighet (Sveriges oberoende och handlingsfrihet)
Sveriges statsidé avseende funktion, handlingsfrihet och oberoende
Sveriges ekonomi och betalningsförmåga
Försvarsmakten- Kunna försvara Sverige- Främja Svensk säkerhet- Upptäcka och avvisa
kränkningar av det svenska territoriet
- Värna om Sveriges suveräna rättigheter och nationella intressen.
T.ex. inom Försvarsindustrin och verksamheter som bedriver:- Forskning- Utveckling- Produktion av försvarsmateriel
Säkerhetspolisen upprätthålla förmågan att förebygga och avvärja brott enligt framför allt spionerilagstiftningen 19 kap. brottsbalken
T.ex. inom Försvarsindustrin och verksamheter som bedriver:- Forskning- Utveckling- Produktion av försvarsmateriel
Torde kräva en kritisk massa av uppgifter. Avgöras från fall till fall baserat på:- Typ av uppgift- Typ av verksamhet- Konsekvens av röjande
Sveriges demokratiska
statsskick
Rättsväsende och brotts-
bekämpande förmåga
Särskilt kritiska- Anläggningar- Funktioner-Informationssystem
Samhällsviktig verksamhet finns ofta inom sektorerna:- Energiförsörjning och särskilt elförsörjning- Elektroniska kommunikationer- Livsmedelsförsörjning- Vattenförsörjning- Transporter- Finansiella tjänster
Skadegenererande verksamhet t. ex.- Kärnteknisk verksamhet- Dammar- Mikrobiologiska labb
Om en antagonistisk handling (spioneri, sabotage eller terroristbrott) medför skadekonsekvenser på nationell nivå. T.exstörningar i eller bortfall av:- Leveranser- Tjänster- Funktioner
Om en antagonistisk handling (spioneri, sabotage eller terroristbrott) medför skadekonsekvenser på nationell nivå. t.ex- Många människor förväntas dö eller skadas- kan få allvarlig påverkan på annan samhälls-viktig verksamhet ur ett nationellt perspektiv.
Driftleverantörer som levererar tjänster (gäller för alla perspektiv)
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
8. INFORMATIONS-SÄKERHET
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
• Om medarbetare förvarar och hanterar känslig information i osäkra mobiltelefoner eller datorer
• Om de hanterar känslig information på privata mailkonton eller i inte godkända molntjänster som inte har tillräckligt starkt skydd
• Om lösenord hanteras ovarsamt och till exempel användare luras att avslöja dem för obehöriga i telefon eller har skrivit upp dem på osäkra ställen.
• Access till register och system utan att veta vem (loggar)
• Social engineering – Påverka medarbetare att lämna utinformation med eller utan vetskap om detta.
Informationssäkehet
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Gemensamt InformationssäkerhetVid samarbeten där information delas mellan varandra manuellt men särskilt i system så är det vikitgt att vara överens om vad som ska delas och hur informationen får sprida. Några saker är:
• skriva under en sekretessförbindelse• Acceptera gemensamma informationsdelningsregler• acceptera villkor för hantering av bearbetad information
• Varje organisation har en utpekad ansvarig för säkerhet
Exempel på InformationsnivåerAll information inom samarbetet hanterar klassificeras in i tre informationsnivåer. Grön, Gul eller Röd.
GRÖNInformationen får, efter godkännande i samarbetet, spridas till andra relevanta företag och organisationer som arbetar för att stärka samhällets säkerhet men får inte publiceras eller göras allmänt tillgänglig.
GULInformationen får spridas men bara till medlemmar i forumet, samt till de personer inom den egna organisationen (anställda, konsulter eller entreprenörer som arbetar i organisationen) som är beroende av informationen för att kunna agera. Varje medlemsorganisation ansvarar själva för att informationen hanteras korrekt inom den egna organisationenoch av eventuella underleverantörer.
RÖDInformationen får inte spridas och begränsas enbart till de individer som är närvarande vid mötet. Representanter får inte sprida informationen utanför SiSG. (Efter tillåtelse från sittande möte kan informationen i undantagsfall få delges till en intenärvarande fast medlem av samarbetet)
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
9. IT-SÄKERHET
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
• Nätets aktiva delar. En riskanalys kring skyddet för att utesluta ett för svagt skydd • Kryptering och signering vid kommunikation med e-post och andra kanaler• Kryptering på datorer, mobiler, USB-minnen och andra enheter• Autentiseringen som inte är för svag• Inloggning på aktiv utrustning ex, switch, routers sker med personlig inloggning• Lösningar för att förhindra logiska hot• Uppdaterade system och lösningar används. Ex. DNSSEC, IPv6
IT-Säkerhet
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
10. DRIFT-SÄKERHETi världsklass är en överlevnadsfråga
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
2018-10-0425
Fysisk säkerhetFelmonteradkanalisation
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Fysisk säkerhet - osäkra brunnar
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Fysisk säkerhet – inte fullgjord installation
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Fysisk säkerhet - broinstallation
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Fysisk säkerhet – felmonterad markskåp
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
11. SAMVERKAN
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
KRISHANTERINGDET EGNA OCHTILLSAMMANS
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
2018-10-0432
Krishantering: SiSG-portalen
KartanLägesbild
HändelseloggHändelseinfo, beslut,
action och kommentarer
LägesrapportFör att samla
information om en pågående händelse
Beskrivning
Spridning
Planerade/vidtagna åtgärder
Behov av samverkan
KonferensVårt sätt att mötas på
Adobe connect
NyheterSSNf lägger upp
infosäk från branschen
DokumentÄr finns manualer,
policys, presentationer m.m.
Samtliga medlemmar i SiSG kan kalla in
resterande till möte ifall något händer
ForumAlla kan skapa en
diskussionstråd om ett ämne
Akutell kontaktlista till samtliga SiSG-
medlemmarOBS: Uppdatera vid
behov er info! NTSGNationella
Telesamverkans-gruppen
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Kriskommunikation
▪ Hur krisen hanteras utåt speglar allmänhetens bild av organisationens förmåga att hantera kris.
▪ Ett väl utfört kommunikationsarbete vid händelse av kris avlastar övriga i organisationen.
▪ Kommunikation måste vara en naturlig del vid krisövning och krisförberedande aktiviteter.
▪ Dåligt genomfört kommunikationsarbete kan förvärra och förstora även en liten kris.
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
FÖRENINGENSSÄKERHETSSKYDDSRÅDETABLERAS!
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
UTBILDNINGOCH
STÖD
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Utbildning och stöd- UTBILDNINGAR
- Säkerhethetsanalys- Säkerklassning av personal och anläggning- Säkerhethetsskyddschef- SiSG- Kriskommunikation
- WEBINAR- Säkerhethandboken- SiSG
- RAMAVTALSLEVERANTÖRER- Inom konsultation- Inom utbildning- Inom produkter
- STADSNÄTSFÖRENINGENS KANSLI- Säkerhetsresurs för rådgivning- Presentationer- Material
2018-10-0436
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
SÄKERHETSHANDBOKENS INNEHÅLL1. Inledning
2. Grunder
3. Hot, hotbild, hotbeskrivning
4. Lagar och förordningar
5. Riskanalys
6. Säkerhetsorganisation
7. Säkerhetsskyddsarbetea) Säkerhetsanalys enligt säkerhetsskyddslagen
b) Sveriges säkerhet
c) Personal och anläggningar
8. Informationssäkerhet
9. IT-säkerhet
10. Driftsäkerhet
11. Samverkana) SiSG och NTSG
b) Säkerhetsskyddsråd
12. Referenser och hänvisningar
WWW.SSNF.ORG | SVENSKA STADSNÄTSFÖRENINGEN
Tack så mycket för mig. Frågor?
Jimmy PerssonChef Utveckling & Sä[email protected] 640