Reportage

Bättre metodstöd för informationssäkerhet

Pedagogiskt med fler mallar, samtidigt mindre komplext. Så beskrivs det nya metodstöd för arbete med informationssäkerhet som ska bli klart före årsskiftet.

– Stödet ska bli lättare att använda praktiskt. Vägledningar kommer att ge stöd som man kan följa till punkt och pricka, om man så vill, säger Tina Andersson, informationssäkerhetsspecialist på MSB.

Det tidigare metodstödet från 2009 har gjort sitt. Det nya stödet bygger fortfarande på webbgränssnitt, men kan också laddas ner och redigeras och hanteras i exempelvis excel.

Tina Andersson– Ska man få igång det systematiska säkerhetsarbetet måste man ha en plan att hålla sig efter. Och då är det här rätt väg att gå, säger Tina Andersson.

De fyra övergripande stegen i stödet är analysera, utforma, använda och utvärdera. Efter utvärdering är det dags att analysera igen.

Analysen består av fyra delar. Egna verksamheten, omvärlden, risk- och sårbarhetsanalys (RSA) och en Gap-analys – gapet mellan existerande säkerhetsnivå och den nivå som behövs.

– Analyserna bygger på krav i ISO-standard som måste beaktas. Men standarden är rätt kortfattad och behöver tolkas. Vi har försökt ta steg i tolkningen och ge råd på vägen, säger Fredrik Blix, lektor vid Stockholms universitet.

Verksamhetsanalys tittar på interna förutsättningar, vad som behöver skyddas. I omvärldsanalys granskas allt utanför som påverkar egna säkerheten. Det kan vara kunder, leverantörer, konkurrenter, allmänheten med mera.

– Det är en tydlig identifiering av intressenter och vilka krav de har på oss, det har inte gjorts tidigare. Kunden brukar ofta missas i analysen. Vi har ju någon som ska dra nytta av vår tjänst, vad vill de?

När egna verksamheten och omvärlden är analyserad har man hoten klart för sig och kan göra RSA. Och efter den Gap-analysen som resulterar i en lista på åtgärder utifrån de tidigare analyserna.

– Analyserna ger kunskap och en dokumentation, förutsättningar att hitta sin nivå och höja den. Men fastna inte i analyserna utan kom vidare. Man behöver komma till säkerhetsåtgärderna ganska snabbt, gå sen tillbaka och uppdatera. En analys av egna verksamheten bör man kunna göra på några dagar, inom en vecka ha ganska klart för sig var man totalt sett står, säger Fredrik Blix.

Utformningen handlar om att ta fram handlingsplaner, klassningsmodeller och mål. Den egna modellen används och utvärderas. Utvärdering leder till nya analyser, och så vidare.

Metodstödet är mer anpassat för större organisationer, en nedre gräns bedöms till ungefär 50 anställda.

Stödet kan ses som ett smörgåsbord, använda det man anser sig behöva. Det är inget tvång att gå från a till b.

– Stödet är brett, inte specifikt avsett för myndigheter. Målgrupp är de som jobbar med informationssäkerhet i sin organisation. Vi har också tagit till oss av kritiken av att det nuvarande stödet är statiskt. Det finns behov av att göra egna mallar. Därför levereras det nya metodstödet som redigerbart material, säger Per Oscarsson, fil dr i informationssystem.

Till stödet kommer också att finnas ett utbildningsmaterial.

– Det finns en verktygslåda med enkelt material för att snabbt komma igång, sen får man raffinera sina egna metoder.

Behövs viss kompetensnivå för att använda metodstödet?

– Nej, det tycker vi inte. Det ligger på en grundläggande nivå, både till språk och innehåll. Vägledningen kan alla förstå. Sen krävs verksamhetskompetens för att göra arbetet, säger Carl Önne, informationssäkerhetsspecialist på MSB.

En röst i publiken på informationssäkerhetskonferensen undrade om det ingick någon form av varningssystem för att inte riskera att exempelvis föra in känsliga uppgifter i excel-filer som kan få spridning.

– Det låter som informationssäkerhetsarbete av informationssäkerheten. Alla måste bedöma hur deras material ska hanteras, svarade Carl Önne.

Metodstödet ska vara dynamiskt. Den version som levereras innan årsskiftet är inte perfekt, innehållet kommer att förbättras efterhand.
Samfimyndigheterna har samarbetat i framtagandet av stödet, materialet kommer att finnas på informationssäkerhet.se

Fotnot: I Samfimyndigheterna ingår Försvarsmakten, Försvarets materielverk, Försvarets radioanstalt, Post- och telestyrelsen, Polismyndigheten, Säkerhetspolisen och MSB.