Stödprocessen: Specificera och planera

Delprocessen Specificera, innebär att ni gör en analys av minimikraven för IoT-säkerhet samt en riskbedömning för att erhålla en för tillämpningen anpassad tillgänglighet och säkerhetsnivå för tänkta IoT-enheter och den infrastruktur som de ska kopplas till.

Beskrivning av stödprocessens andra delprocess, Specificera och planera. Alla aktiviteter och delprocessens två beslutspunkter beskrivs nedan

Klicka på bilden för en större version. Beskrivning av stödprocessens andra delprocess, Specificera och planera.

I denna delprocess identifierar ni även information, dataströmmar och klassar informationsmängder med hjälp av verktyget Klassa.

Huvudresultat från denna delprocess

  • De säkerhetsmässiga grundförutsättningar (OT, IoT-systemet samt tekniska förslag) som är input till arbetet med att sammanställa en eller flera business case(s) som underlag för beslut i "Beslutspunkt 2: Besluta om att genomföra förändring".
  • Parallellt med (och som input till) att ni tar fram en nytto­realiserings­plan (beskrivs i kärnprocessen) genomför ni aktiviteter för informations­klassning. Dessa ingår som underlag till "Beslutspunkt 3: Besluta om hur vi ska realisera". I under­laget beskriver ni hur ni avser att realisera valt business case.

Se vidare under ”Samarbete och synkronisering mellan processerna” i toppmenyn för att se hur det löpande samarbetet och delarna i vägledningen synkroniseras.

Samarbete och synkronisering mellan processerna

En utförlig beskrivning för Beslutspunkt 2 och 3 hittar du i vägledningens kärnprocess.

Kärnprocessen: Specificera och planera

Aktivitet: Identifiera säkerhetsrelaterade aktiviteter utifrån nuläge

Dessa aktiviteter beror på tillämpningen. Exempel på aktiviteter ni kan/bör genomföra är intervjuer med individ/brukare/användare, fastighetsägare, anhöriga, nätägare och systemägare. Ni gör också en mappning till purde och ritning av en schematisk skiss där det tydlig framgår hur segmentering mellan säkerhetsnivåer för:

  • IoT-systemet och dess enheter (grön)
  • administrativa system (blå)
  • gränssnittet för att koppla ihop dessa (gul).

Se beskrivning i Svenska Stadsnätsföreningsens vägledning för robust och säker IoT.

Vägledning för robust och säker IoT, SSNF (PDF)

HUKI

Huvudansvarig

  • Verksamhet­sägare/ Beställare

Utförare

  • Säkerhetsexpert

Konsulteras

  • Systemägare
  • System­integratör/ arkitekt
  • Nätverk och kommunikation
  • Utvecklare/ AI-provider
  • Moln- och plattforms­leverantör
  • Leverantör/ Tillverkare av IoT

Läs vidare

Aktivitet: Identifiera intressenter, produkter och förutsättningar

Efter mappningen kan ni koppla ihop resultat från nuläget, leverantörer och produkter och göra ytterligare kravställning.

Val av:

  • Tjänsteleverantörer
  • Huvudtjänst (vem som levererar huvudtjänsten och medföljande under­tjänster)
  • Produkter,
  • Ev Hosting (I kommunens ägo eller externt. Sverige/Utomlands) och Abonnemang och förbindelser.

HUKI

Huvudansvarig

  • Verksamhets­ägare/ Beställare

Utförare

  • Säkerhetsexpert
  • Nätverk och kommunikation

Konsulteras

  • Systemägare
  • Systemintegratör/ arkitekt

Informeras

  • Leverantör/ Tillverkare av IoT

Läs vidare

Aktivitet: Identifiera roller och minimikrav

Roller definieras enligt vägledning för Robust och säker IoT (se nedan). Det finns sju roller med under­roller på respektive som ni behöver gå igenom. Till dessa roller finns minimikrav som ska uppfyllas. Läs mer om tillvägagångsätt i vägledningen.

Vägledning för robust och säker IoT, Svenska Stadsnätsföreningen (PDF)

HUKI

Huvudansvarig

  • Verksamhetsägare/ Beställare

Utförare

  • Säkerhetsexpert
  • Systemägare

Informeras

  • Leverantör/ Tillverkare av IoT
  • Utvecklare/ AI-provider

Läs vidare

Aktivitet: Identifiera ytterligare krav

Identifiera ytterligare krav utöver det som framgår av ISO 27001/lagrum.

HUKI

Huvudansvarig

  • Verksamhets­ägare/ Beställare

Utförare

  • Systemägare
  • Säkerhetsexpert

Informeras

  • System­integratör/ arkitekt
  • Nätverk och kommunikation
  • Utvecklare/ AI-provider
  • Moln- och plattforms­leverantör
  • Leverantör/ Tillverkare av IoT

Läs vidare

Aktivitet: Analysera egentillagda hot

Den mall som finns i Robust och Säker IoT för genom­förande av RSA har för­definerade bashot. Utöver dessa gör ni en analys av den lokala miljön och förutsättningar och eventuellt ytterligare sedda hot som sedan ska läggas in i risk- och sårbarhets­analysen (RSA) och analyseras. Exempel på ett egentillagt hot kan vara lokal nyckelhantering till utrymmen.

HUKI

Huvudansvarig

  • Verksamhetsägare/ Beställare

Utförare

  • Systemägare
  • Säkerhetsexpert

Informeras

  • Systemintegratör/ arkitekt
  • Nätverk och kommunikation
  • Utvecklare/ AI-provider
  • Moln- och plattforms­leverantör
  • Leverantör/ Tillverkare av IoT

Läs vidare

Aktivitet: Upprätta Risk- och sårbarhetsanalys (RSA) för IoT-system

Är den valda rollen "Systemägare" genomför ni en riskanalys och risk­bedömning i enlighet med RSA.

Bilaga 2: Rutin och handledning, RSA Robust och säker IoT, version 1.0, SSNF (PDF)

Bilaga 2.1: Verktyg, RSA-mall Robust och säker IoT, version 1.0, SSNF (XLSM)

Observera att verksamhetens art, till exempel hantering av samhällskritiska funktioner, kan ställa högre krav på säkerhet än de som är angivna som minimikrav i Svenska Stads­näts­föreningens kravanalys för robust och säker IoT.

Bilaga 1: Rutin och handledning, Kravanalys Robust och säker IoT, version 1.0, SSNF (PDF)

Bilaga 1.1: Verktyg, Kravanalys Robust och säker IoT, version 1.0, SSNF (PDF)

HUKI

Huvudansvarig

  • Verksamhetsägare/ Beställare

Utförare

  • Systemägare
  • Säkerhetsexpert

Konsulteras

  • Nätverk och kommunikation
  • Utvecklare/ AI-provider
  • Moln- och plattforms­leverantör
  • Leverantör/ Tillverkare av IoT

Läs vidare

Aktivitet: Analysera det samlade riskvärdet/resultatet från RSA

Utifrån framtagen RSA-mall för Robust och Säker IoT, sammanställer ni det samlade riskvärdet för de identifierade och analyserade hoten på första sidan genom en tabell där varje rad visar risk och sannolikhet per hot. Utifrån detta kan ni dra slutsats om det kon­soliderade riskvärdet.

HUKI

Huvudansvarig

  • Verksamhetsägare/ Beställare

Utförare

  • Systemägare
  • Säkerhetsexpert

Konsulteras

  • Systemintegratör/ arkitekt
  • Nätverk och kommunikation
  • Utvecklare/AI-provider
  • Moln- och plattforms­leverantör
  • Leverantör/ Tillverkare av IoT

Läs vidare

Aktivitet: Genomföra åtgärder

När ni genomfört en RSA så har ni tagit fram åtgärder per hot i de fall de behövs. Dessa finns sammanställda för hela RSA under fliken ”Åtgärder” (i verktyget). Dessa åtgärder ska ni tidsätta och bemanna samt i de fall det behövs finansiering, även tilldela finansiell resurs eller budgetera för detta.

HUKI

Huvudansvarig

  • Verksamhetsägare/ Beställare

Utförare

  • Systemägare
  • Säkerhetsexpert

Konsulteras

  • Systemintegratör/ arkitekt
  • Nätverk och kommunikation
  • Utvecklare/ AI-provider
  • Moln- och plattforms­leverantör
  • Leverantör/ Till­verkare av IoT

Läs vidare

Aktivitet: Göra GAP-analys

I GAP-analysen gör ni en jämförelse mellan önskad målbild och den framtagna lösningen. Det enklaste att jämföra är de framtagna arbets­paketens resultat med tänkt resultat. Ni gör också en bedömning av hur stort gapet är mellan resultatet och tänkt lösning. Är gapet för stort behöver ni föreslå och genom­föra åtgärder för att minska gapet.

HUKI

Huvudansvarig

  • Verksamhetsägare/ Beställare

Utförare

  • Systemägare
  • Säkerhetsexpert

Informeras

  • Systemintegratör/ arkitekt
  • Nätverk och kommunikation
  • Utvecklare/ AI-provider
  • Moln- och plattforms­leverantör
  • Leverantör/ Tillverkare av IoT

Läs vidare

Beslutspunkt 2: Besluta om att genomföra en förändring

Se information i beslutspunkten i Kärn­processens "Specificera och planera".

Kärnprocessen: Specificera och planera

Aktivitet: Identifiera information, dataströmmar och klassa

Information är värdefullt och behöver skyddas efter behov. Ett bra informations­säkerhets­arbete är en förutsättning för effektiv och korrekt informations­hantering. Detta skapar förtroende både inom och utanför organisationen.

Information är en grund­läggande byggsten i er organisation, på samma sätt som medarbetare, lokaler och utrustning. Genom ett systematiskt arbete med informationssäkerhet kan ni öka kvaliteten i och förtroendet för er verksamhet. Om ni utgår från etablerade standarder i arbetet med informations­säkerhet ökar chansen för er att lyckas.

När ni arbetar med informationssäkerhet omfattar det att införa och förvalta administrativa regelverk så som policys och riktlinjer, tekniskt skydd med bland annat brandväggar och kryptering samt fysiskt skydd med till exempel skal- och brandskydd. Det handlar om att ni tar ett helhetsgrepp och skapar ett fungerande långsiktigt arbetssätt för att ge organisationens information det skydd den behöver.

Informationstillgångar

Vad som räknas som informationstillgångar är de som ni inom verksamheten identifierar som sådana. Det innebär att två organisationer kan få olika resultat i sin analys för vilka tillgångar som ska klassificeras.

Klassificeringen har två ingångsvärden: krav och klassificeringsmodell. Kraven kan i sin tur delas upp i två delar: de som kommer från avtal, lagar, förordningar och andra författningar, (externa krav) och krav som verksamheten ställer för att kunna uppnå sina mål (interna krav).

Skyddsnivåer

För att nå syftet med klassningen, att styra så att informationstillgångar ges rätt skydd, ska ni koppla säkerhetsåtgärder till klassningsresultatet. Det är detta som är den huvud­sakliga meningen med KLASSA, det vill säga ett it-stöd (verktyg) i att koppla samman säkerhetsåtgärder och dess nivåer mot klassnings­resultatet. I detta sammanhang ska ”nivå på säkerhetsåtgärd” tolkas som ”styrkan av en säkerhetsåtgärd”; ej att blanda samman med ”nivå av konsekvens”. Vissa säkerhetsåtgärder inom bland annat SS-EN ISO/IEC 27001 bilaga A går inte att indela i olika nivåer. Ett exempel är att organisationen ska ha en informations­säker­hets­policy; antingen finns den eller så finns den inte. Andra säkerhetsåtgärder går att ha i olika nivåer till exempel autentisering (enbart användarnamn och lösenord jämfört med flerfaktors­autentisering), hur kryptonycklar ska hanteras och lagras samt vilka uppgifter som ska samlas in till loggsystemet.

Det finns sålunda två sätt för er att öka skyddsnivån för informationstillgångarna: att klassa tillgångarna högre, eller att justera nivån på de säkerhetsåtgärder som faller ut som ett resultat på klassningen.

Säkerhetsåtgärder

Listan på säkerhetsåtgärder som KLASSA genererar behöver ni justera utifrån ett antal perspektiv som av olika anledningar inte kan omhändertas i den specifika klassningen. Varje klassnings­objekt kan ha specifika förutsättningar för det sammanhang som just den informationen eller det systemet används i. Då kan det behövas göras en precisering. Det görs genom att ni gör en ”lokal riskanalys”, där det avgörs om de säkerhetsåtgärder som framkommit i KLASSA är lämpliga för klassnings­objektet i fråga, sett utifrån riskanalysens resultat. Det kan också vara beroende på att vissa krav ställs, såsom specifik lagstiftning, ingångna avtal eller verksamhetens krav. Även branschpraxis kan vara styrande.

Skyddet av informations­tillgången kan också behöva höjas eftersom informationen är:

  • Ackumulerad- att flera förekomster av samma informationstyper eller informationsmängder samlas och lagras på samma ställe, till exempel i ett arkiv eller databas, vilket ofta leder till ökat skyddsbehov) och/eller
  • Aggregerad- att olika informationstyper förs samman och tillsammans bildar en informations­mängd (till exempel ett dokument eller viss handling) och att konsekvenser och skyddsbehov kan bli större än de ingående informationstyperna var för sig) information vilket resulterat i en ny (högre) klassning.

HUKI

Huvudansvarig

  • Verksamhetsägare/ Beställare

Utförare

  • Systemägare
  • Säkerhetsexpert
  • DSO
  • Informationsägare

Informeras

  • Systemintegratör/ arkitekt
  • Nätverk och kommunikation
  • Utvecklare/ AI-provider
  • Moln- och plattforms­leverantör
  • Leverantör/ Tillverkare av IoT

Läs vidare

Aktivitet: Genomföra åtgärder

Denna aktivitet syftar till att införa informations­säkerhets­åtgärder.

Beslutspunkt 3: Besluta om hur vi ska realisera?

Se information i beslutspunkten i Kärn­processens ”Specificera och Planera”.

Kärnprocessen: Specificera och planera

Kontakta oss

Kontaktformulär SKR