Stödprocessen: Specificera och planera

Dessa aktiviteter beror på tillämpningen. Exempel på aktiviteter ni kan/bör genomföra är intervjuer med individ/brukare/användare, fastighetsägare, anhöriga, nätägare och systemägare. Ni gör också en mappning till purde och ritning av en schematisk skiss där det tydlig framgår hur segmentering mellan säkerhetsnivåer för:

• IoT-systemet och dess enheter (grön)
• administrativa system (blå)
• gränssnittet för att koppla ihop dessa (gul).

Se beskrivning i Svenska Stadsnätsföreningsens vägledning för robust och säker IoT.

Vägledning för robust och säker IoT, SSNF (PDF)

Efter mappningen kan ni koppla ihop resultat från nuläget, leverantörer och produkter och göra ytterligare kravställning.

Val av:

• Tjänsteleverantörer
• Huvudtjänst (vem som levererar huvudtjänsten och medföljande under­tjänster)
• Produkter,
• Ev Hosting (I kommunens ägo eller externt. Sverige/Utomlands) och Abonnemang och förbindelser.

Roller definieras enligt vägledning för Robust och säker IoT (se nedan). Det finns sju roller med under­roller på respektive som ni behöver gå igenom. Till dessa roller finns minimikrav som ska uppfyllas. Läs mer om tillvägagångsätt i vägledningen.

Vägledning för robust och säker IoT, Svenska Stadsnätsföreningen (PDF)

Identifiera ytterligare krav utöver det som framgår av ISO 27001/lagrum.

Den mall som finns i Robust och Säker IoT för genom­förande av RSA har för­definerade bashot. Utöver dessa gör ni en analys av den lokala miljön och förutsättningar och eventuellt ytterligare sedda hot som sedan ska läggas in i risk- och sårbarhets­analysen (RSA) och analyseras. Exempel på ett egentillagt hot kan vara lokal nyckelhantering till utrymmen.

Är den valda rollen "Systemägare" genomför ni en riskanalys och risk­bedömning i enlighet med RSA.

Bilaga 2: Rutin och handledning, RSA Robust och säker IoT, version 1.0, SSNF (PDF)

Bilaga 2.1: Verktyg, RSA-mall Robust och säker IoT, version 1.0, SSNF (XLSM)

Observera att verksamhetens art, till exempel hantering av samhällskritiska funktioner, kan ställa högre krav på säkerhet än de som är angivna som minimikrav i Svenska Stads­näts­föreningens kravanalys för robust och säker IoT.

Bilaga 1: Rutin och handledning, Kravanalys Robust och säker IoT, version 1.0, SSNF (PDF)

Bilaga 1.1: Verktyg, Kravanalys Robust och säker IoT, version 1.0, SSNF (PDF)

Utifrån framtagen RSA-mall för Robust och Säker IoT, sammanställer ni det samlade riskvärdet för de identifierade och analyserade hoten på första sidan genom en tabell där varje rad visar risk och sannolikhet per hot. Utifrån detta kan ni dra slutsats om det kon­soliderade riskvärdet.

När ni genomfört en RSA så har ni tagit fram åtgärder per hot i de fall de behövs. Dessa finns sammanställda för hela RSA under fliken ”Åtgärder” (i verktyget). Dessa åtgärder ska ni tidsätta och bemanna samt i de fall det behövs finansiering, även tilldela finansiell resurs eller budgetera för detta.

I GAP-analysen gör ni en jämförelse mellan önskad målbild och den framtagna lösningen. Det enklaste att jämföra är de framtagna arbets­paketens resultat med tänkt resultat. Ni gör också en bedömning av hur stort gapet är mellan resultatet och tänkt lösning. Är gapet för stort behöver ni föreslå och genom­föra åtgärder för att minska gapet.

Se information i beslutspunkten i Kärn­processens "Specificera och planera".

Kärnprocessen: Specificera och planera

Information är värdefullt och behöver skyddas efter behov. Ett bra informations­säkerhets­arbete är en förutsättning för effektiv och korrekt informations­hantering. Detta skapar förtroende både inom och utanför organisationen.

Information är en grund­läggande byggsten i er organisation, på samma sätt som medarbetare, lokaler och utrustning. Genom ett systematiskt arbete med informationssäkerhet kan ni öka kvaliteten i och förtroendet för er verksamhet. Om ni utgår från etablerade standarder i arbetet med informations­säkerhet ökar chansen för er att lyckas.

När ni arbetar med informationssäkerhet omfattar det att införa och förvalta administrativa regelverk så som policys och riktlinjer, tekniskt skydd med bland annat brandväggar och kryptering samt fysiskt skydd med till exempel skal- och brandskydd. Det handlar om att ni tar ett helhetsgrepp och skapar ett fungerande långsiktigt arbetssätt för att ge organisationens information det skydd den behöver.

Informationstillgångar

Vad som räknas som informationstillgångar är de som ni inom verksamheten identifierar som sådana. Det innebär att två organisationer kan få olika resultat i sin analys för vilka tillgångar som ska klassificeras.

Klassificeringen har två ingångsvärden: krav och klassificeringsmodell. Kraven kan i sin tur delas upp i två delar: de som kommer från avtal, lagar, förordningar och andra författningar, (externa krav) och krav som verksamheten ställer för att kunna uppnå sina mål (interna krav).

Skyddsnivåer

För att nå syftet med klassningen, att styra så att informationstillgångar ges rätt skydd, ska ni koppla säkerhetsåtgärder till klassningsresultatet. Det är detta som är den huvud­sakliga meningen med KLASSA, det vill säga ett it-stöd (verktyg) i att koppla samman säkerhetsåtgärder och dess nivåer mot klassnings­resultatet. I detta sammanhang ska ”nivå på säkerhetsåtgärd” tolkas som ”styrkan av en säkerhetsåtgärd”; ej att blanda samman med ”nivå av konsekvens”. Vissa säkerhetsåtgärder inom bland annat SS-EN ISO/IEC 27001 bilaga A går inte att indela i olika nivåer. Ett exempel är att organisationen ska ha en informations­säker­hets­policy; antingen finns den eller så finns den inte. Andra säkerhetsåtgärder går att ha i olika nivåer till exempel autentisering (enbart användarnamn och lösenord jämfört med flerfaktors­autentisering), hur kryptonycklar ska hanteras och lagras samt vilka uppgifter som ska samlas in till loggsystemet.

Det finns sålunda två sätt för er att öka skyddsnivån för informationstillgångarna: att klassa tillgångarna högre, eller att justera nivån på de säkerhetsåtgärder som faller ut som ett resultat på klassningen.

Säkerhetsåtgärder

Listan på säkerhetsåtgärder som KLASSA genererar behöver ni justera utifrån ett antal perspektiv som av olika anledningar inte kan omhändertas i den specifika klassningen. Varje klassnings­objekt kan ha specifika förutsättningar för det sammanhang som just den informationen eller det systemet används i. Då kan det behövas göras en precisering. Det görs genom att ni gör en ”lokal riskanalys”, där det avgörs om de säkerhetsåtgärder som framkommit i KLASSA är lämpliga för klassnings­objektet i fråga, sett utifrån riskanalysens resultat. Det kan också vara beroende på att vissa krav ställs, såsom specifik lagstiftning, ingångna avtal eller verksamhetens krav. Även branschpraxis kan vara styrande.

Skyddet av informations­tillgången kan också behöva höjas eftersom informationen är:

• Ackumulerad- att flera förekomster av samma informationstyper eller informationsmängder samlas och lagras på samma ställe, till exempel i ett arkiv eller databas, vilket ofta leder till ökat skyddsbehov) och/eller
• Aggregerad- att olika informationstyper förs samman och tillsammans bildar en informations­mängd (till exempel ett dokument eller viss handling) och att konsekvenser och skyddsbehov kan bli större än de ingående informationstyperna var för sig) information vilket resulterat i en ny (högre) klassning.