Förslag på arbetssätt för informationssäkerhet i Försvarsmakten

I ett projekt har jag tagit fram en modell över tänkt arbetssätt för informationssäkerhetsarbete i Försvarsmakten. Modellen består av tre delar; förebygga, hantera och förbättra. Varje del är i sin tur indelad i fyra områden. Modellen som är anpassad för Försvarsmakten är baserad på SS-ISO/IEC 27001:2014 och Natos modell för indelning av IT-säkerhetsförmågor. I modellen används verb för att uttrycka att den uppmuntrar mänskliga handlingar i arbetet.

Förebygga

Det förebyggande arbetet syftar till att ta reda på vilket skydd som behövs och få det på plats. Skyddet består av tekniska och administrativa skyddsåtgärder. Efter­som människors kunskaper och attityder är av stor betydelse för informations­säkerheten är utbildning och övning en viktig del i det förebyggande arbetet, även för tekniska skyddsåtgärder.

• I området Planera ingår aktiviteter för att analysera och avgöra vilka skydds­åtgärder som ska skydda informationstillgångar i fråga om konfidentialitet, tillgänglighet och riktighet. Normalt sker en sådan analys i form av en säkerhets­analys där informationstillgångar identifieras och prioriteras. I säkerhetsanalysen bedöms säkerhetshot, sårbarheter och risker där de senare prioriteras och ligger till grund för beslut om hur riskerna ska hanteras. För riskhanteringsbeslut används Försvarsmaktens kriterier för riskacceptans (som ännu inte existerar). En säkerhetsplan omsätter riskhanteringsbesluten i en konkret handlingsplan som ska säkerställa att besluten om skyddsåtgärder verkligen genomförs.

För att avgöra vilket skydd informationstillgångar ska omfattas av måste även analys av författningskrav eller krav i avtal och överenskommelser genomföras. Även om det finns många bestämmelser om informationssäkerhet är skyddet inte statiskt. Skyddet behöver ofta anpassas för att möta en specifik hotbild. Hotbilden varierar beroende på bl a vilken information som kommer att behandlas, hotaktörernas förmåga, kapacitet och intention samt var informationstillgångarna finns.

Planering av vilka åtgärder som ska vidtas vid avbrott eller störningar i ett IT-systems funktion (kontinuitetsplan) är exempel på hur området Planera används för tillgänglighetsaspekten. Att analysera och avgöra vilka skyddsåtgärder som ska skydda informationstill­gångar är sällan aktiviteter som endast genomförs en gång för en viss informat­ionstillgång. Planeringen kan ske iterativt och kan även behöva genomföras på nytt då riskerna eller skyddsåtgärdernas skyddsegenskaper har ändrats.

• Syftet med området Etablera är att skapa det skydd för informationstillgångar som behövs så att tillgångarna kan hanteras med en av Försvarsmakten accepterad risk (okänd eftersom det saknas beslutade riskacceptansvillkor). Det kan vara fråga om att återanvända befintliga skyddsåtgärder eller anskaffa varor och tjänster för skyddsåtgärder som inte finns. Aktiviteter för att verifiera att skyddsåtgärderna har rätt skydds­egenskaper ingår i området. De skyddsåtgärder som etableras är tekniska och administrativa. Normalt behövs en kombination för att uppnå säkerhetseffekt, t ex låssystem med nycklar tillsammans med rutiner för tilldelning och återlämning av nycklar.

Skyddsåtgärder för IT-säkerhet består inte endast av de sju säkerhetsfunktionerna behörighetskontroll, säkerhetsloggning, skydd mot röjande signaler, skydd mot obehörig avlyssning, intrångsskydd, intrångsdetektering och skydd mot skadlig kod. Andra skyddsåtgärder kan t ex vara sekretessmarkeringar på elektroniska handlingar, säkerhetskopiering samt organisation och teknisk lösning för distribution av programuppdateringar. KSF är inte allt!

Skyddsåtgärder för administrativ informationssäkerhet kan t ex bestå av beslut om vem som är behörig att ta del av hemliga handlingar, rutiner för delgivning, inventering och återlämning av handlingarna.

• Aktiviteter i området Utbilda ger Försvarsmaktens personal kunskap om hoten mot informationstillgångarna och hur man ska skydda tillgångarna. Sådan kunskap är väsentligt för Försvarsmaktens informationssäkerhet. Utbildningar måste anpassas för målgrupper, t ex behöver IT-driftpersonal annan utbildning än vad människor som använder IT-systemen behöver. Stöd för utbildning finns i Handbok Utbildningsmetodik (H FM UtbM) (PDF) och Pedagogiska grunder (PDF).

• Genom att öva kan en individ öka sin förmåga att lösa en viss uppgift i skyddet av informationstillgångar. Även funktioner eller organisationsdelar kan övas i att skydda informationstillgångar eller hantera informationssäkerhetsincidenter, t ex åtgärder för att återställa kontinuitet efter att en datorhall brunnit upp eller ett intrång i ett IT-system. Aktiviteterna i områdena Planera och Utbilda är sällan tillräckliga för att människor ska vara kompetenta för att hantera informationstillgångar på ett säkert sätt. Övning ger färdighet!

Hantera

Oavsett hur väl man förbereder sig för att skydda informationen kommer det att inträffa händelser som medför ett sämre skydd av informationen eller att inform­ationen förloras, förstörs eller ändras på ett sätt som inte är önskvärt. I informationssäkerhetsarbetet ingår att hantera sådana incidenter och avvikelser. Hanter­ingen syftar inte endast till att upptäcka och rapportera händelser utan även till att återställa skyddet till en tillräcklig nivå.

• Området Övervaka syftar till att övervaka hanteringen av informationstillgång­arna så att det är möjligt att upptäcka informationssäkerhetsincidenter och avvik­elser. I IT-system ska säkerhetsfunktionen säkerhetsloggning bland annat ge möjlighet att upptäcka hot från behöriga användare eller obehöriga personer som har tillgång till någon av systemets gränsytor. Säkerhetsfunktionen intrångsdetektering ska detektera intrång, eller försök till intrång eller förberedelse till intrång i IT-system. Övervakning av kapacitetsutnyttjade är relevant för tillgänglighetsaspekten. Över­vakningen behöver även omfatta stödjande infrastrukturer som IT-system är beroende av, t ex klimatanläggningar och elförsörjning, då fel där kan påverka informationssäkerheten negativt.

I IT-system måste övervakningen ske kontinuer­ligt för att man snabbt ska kunna agera för att återställa informationssäkerheten. I hantering av information i analog form kan övervakningen genomföras med stöd i rutiner som ger spårbarhet, t ex kvittering vid mottagande av en hemlig pappershand­ling. Omvärldsbevakning för att uppmärksamma sårbarheter i mjuk- och hårdvaror eller för att uppmärksamma att leverantörer slutar att tillhandahålla säkerhetsuppdateringar hör också till området Övervaka.

• Området Upptäcka syftar till att informationssäkerhetsincidenter och avvikelser detekteras och uppmärksammas så att någon kan agera för att återställa informationssäkerheten. En informationssäkerhetsincident eller avvikelse kan ha sin grund i såväl en avsiktligt orsakad händelse (t ex tillgänglighetsattack mot IT-system och stöld av hemliga handlingar) som en oavsiktligt orsakad händelse (t ex naturfenomen, materialfel, olyckor och slarv).

I IT-system sker upptäckt främst med automatisk och manuell logganalys men även med driftlarm för stödjande infrastrukturer. Att upptäcka informations­säkerhetsincidenter och avvikelser kräver också analysförmåga och en organisation som kan agera på larm. Upptäckt av ett angrepp på ett IT-system medför att angreppet kan behöva avbrytas med aktiva åtgärder i systemet. Att en hemlig handling saknas vid inventering av hemliga pappershandlingar är ett exempel på upptäckt av en informationssäkerhetsincident i hanteringen av information i analog form.

Säkerhetsrapportering, när en människa rapporterar en säkerhetshotande verksamhet eller en sårbarhet, är en del av området Upptäcka.

• Området Agera syftar till att efter upptäckt av en informationssäkerhetsincident eller avvikelse eliminera eller begränsa fortsatta negativa effekter av incidenten eller avvikelsen. Att på ett kontrollerat sätt ta bort hemliga uppgifter ur ett IT-system som inte är godkänt för hantering av sådana uppgifter är ett exempel. Ett annat exempel är de fall där pågående angrepp på ett IT-system avbryts.

Till området Agera hör även utredning efter att en informationssäker­hetsincident eller avvikelse ägt rum, t ex forensisk analys för att fastställa orsaken till en informationssäkerhetsincident.

• Området Återställa syftar till att efter en informationssäkerhetsincident eller avvikelse vidta åtgärder så att den önskade nivån av informationssäkerhet åter­ställs. Detta kan ske genom att påverka den sårbarhet som utnyttjats, t ex genom att komplettera med ny skyddsåtgärd eller ersätta en skyddsåtgärd. Till området Återställa hör även att återställa information som av misstag har förstörts eller ändrats, t ex genom återläsning av en säkerhetskopia.

Förbättra

Även om informationssäkerheten vid ett tillfälle bedöms vara tillräcklig kan den vid ett senare tillfälle vara otillräcklig på grund av förhållanden som inte var kända, t ex nya sårbarheter. I arbetet att förbättra informationssäkerheten ingår att informera om sådana förhållanden så att även andra kan vidta korrigerande åtgärder. För att kunna vidta åtgärder så att en informationssäkerhetsincident eller avvikelse inte inträffar igen måste kunskaper om inträffade händelser spridas inom Försvars­makten. Att förbättra informationssäkerheten handlar om att vi lär oss av varandra och korrigerar skyddsåtgärderna med det gemensamma målet att skydda informationen, oavsett var den hanteras.

• Området Kontrollera syftar till att granska om planeringen i området Planera samt etablerade säkerhetsåtgärder (från området Etablera) är tillräckliga för att skydda de berörda informat­ionstillgångarna. Granskningen ska med grund i Försvarsmaktens kriterier för riskacceptans (Surprise! De finns inte…) avgöra om informationstillgångar ges nödvändigt skydd mot säkerhetshot och att kvarvarande risker är acceptabla. Granskningen behöver ta hänsyn till författningskrav eller krav i avtal och överenskommelser.

Exempel på aktiviteter inom området är säkerhetsskyddskontroller och intern­kontroller.

• Det kan vara en enskild eller flera skyddsåtgärders sammantagna effekt som i området Utvärdera undersöks för att se om de är lämpliga och effektiva eller om de behöver förändras. I utvärderingarna ingår även att bedöma om inträffade informationssäkerhets­incidenter och av­vik­elser kan inträffa på nytt och i så fall vad man behöver göra för att minska sanno­likheten för det. I området ingår att även undersöka effekten av tidigare genom­förda aktiviteter i området Korrigera. Orsaker till inträffade informationssäker­hets­incidenter och avvikelser, resultat av kontroller, identifierade sårbarheter samt genomförda korrigeringar är underlag för utvärderingar. Utvärdering sker utifrån bl a författningskrav och Försvarsmaktens kriterier för riskacceptans, som ännu inte existerar. Utvärderingar kan genomföras på olika nivåer, t ex på ett krigsförband. Utvärdering av Försvarsmaktens totala informationssäkerhetsarbete genomförs på Högkvarteret.

• En utvärdering av informationssäkerhetsarbetet kan leda till att korrigerande åtgärder behöver genomföras. Korrigeringen kan bestå av att skapa en ny säkerhetsåtgärd, förändra en befintlig säkerhetsåtgärd eller vidta någon annan åtgärd för att förbättra arbetet. Korrigeringen kan avse såväl tekniska som administrativa skyddsåtgärder.

• Syftet med området Informera är att information delges till andra individer och organisationsdelar så att Försvarsmaktens informationssäkerhets­arbete förbättras. I en stor organisation där informationssäkerhetsarbetet genomförs av flera individer vid många organisatoriska enheter är det nödvändigt att information om arbetet sprids i den omfattning som är nödvändig för att informationssäkerhetsarbetets syfte ska uppnås – att skydda informationen, oavsett var den hanteras i Försvars­makten. Delgivning av information sker därför enligt principen att information aktivt ska delges den organisationsdel och befattning som har behov av den för att kunna förbättra informations­säkerhetsarbetet. För att kunna informera om t ex komplicerade händelseförlopp är det nödvändigt att förloppen dokumenteras.

Delgivning av information ska ske i den omfattning som är nödvändig för att en organisationsdel eller individ ska kunna förbättra informationssäkerhetsarbetet. Den information som delges behöver inte vara fullständig, den kan istället bestå av utdrag eller omskrivningar. Huvudsaken är att tillgänglig information i myndigheten ger effekt så att informationssäkerhets­arbetet konkret förbättras. Den fråga man ska ställa sig är vem som kan ha nytta av information som man själv besitter? Mottagarna kan finnas såväl inom som utanför den organisationsdel som man själv tillhör.

I området Informera ingår även den genomgång som, enligt avsnitt 9.3 i SS-ISO/IEC 27001:2014, ska ske för en organisations högsta ledning. Den informationsdelgivningen går inte att delegera.

≈ ≈ ≈

Modellen är egentligen inte begränsad till informationssäkerhet, den kan lika bra vara en modell över säkerhetsskyddsarbete. Sedan några år har det då och då slagit mig att det i såväl Försvarsmakten som i andra organisationer saknas en helhetssyn på säkerhetsskyddsarbetet. Det finns många anställda som är duktiga på sina smala områden och gör ett fantastiskt arbete. Samordnade kontinuerliga aktiviteter över interna organisationsgränser och som bidrar till ständig förbättring är sällsynta. Modellen ovan, som jag varit huvudförfattare till, försöker komma till rätta med det och adresserar flera delar som är bristfälliga eller som inte alls genomförs i dag.

Jag fick mycket positiv återkoppling i arbetet att ta fram modellen. Det visar att den har substans. Nu har jag lämnat Försvarsmakten. Men vem vet, något av modellen kommer kanske att återfinnas i det framtida arbetssättet?

≈ ≈ ≈

Modellen är dokumenterad i bilaga 2 till FM2016-20202:2. Den allmänna handlingen har tidigare begärts ut och sekretessgranskats. Den har då inte bedömts innehålla några uppgifter som omfattas av sekretess enligt OSL.

/Kim Hakkarainen

Lämna en kommentar

Publicerad i Säkerhetskultur, Säkerhetsledning, Säkerhetsskydd

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *