Vägledning till ökad säkerhet i industriella informations ...

Vägledning till ökad säkerhet i industriella informations ...

Skra vr samhllsviktiga infrastruktur Skra din verksamhet Myndigheten fr samhllsskydd och beredskap Skra vr samhllsviktiga infrastruktur Myndigheten fr samhllsskydd och beredskap Skra din verksamhet Myndigheten fr samhllsskydd och beredskap Myndigheten fr samhllsskydd och beredskap

17 rekommendationer fr kad skerhet Myndigheten fr samhllsskydd och beredskap Myndigheten fr samhllsskydd och beredskap 1. Skra ledningens engagemang och ansvar Exempel p aktiviteter: Jobba lngsiktigt och frsk f ledningen att sjlva intressera sig fr

skerhetsarbete och vilken nytta det kan f fr verksamheten. Frsk att beskriva vad olika tgrder kostar bde i investering och i arbetstid. Relatera sedan kostnaden till den nytta som tgrden gr fr verksamheten. Fresl konkreta frndringar i verksamhetens styrdokument med mlsttningen att de industriella informations- och styrsystemen beaktas i det systematiska informationsskerhetsarbetet. Undvik att prata om teknik, utan fokusera p hur effektiviteten lngsiktigt kan frbttras i takt med ett kat skerhetsarbete i de industriella informationsoch styrsystemen. Anvnd konkreta exempel som ligger nra den egna verksamheten fr att frklara vad it-skerhet i de industriella informations- och styrsystemen innebr. Myndigheten fr samhllsskydd och beredskap 1. Skra ledningens engagemang och ansvar Exempel p ml fr skerhetsarbetet:

Det finns en informationsskerhetspolicy som inkluderar de industriella informations- och styrsystemen. Ledningen lyfter aktivt fram vikten av att flja informationsskerhetspolicyn. Ledningen informeras om och godknner regelbundet uppdaterade riskanalyser och tgrdsplaner fr de industriella informations- och styrsystemen. Samtliga i ledningsgruppen har en grundlggande frstelse fr skillnaderna i skerhets- och funktionskrav mellan de administrativa systemen och de industriella informations- och styrsystemen. Myndigheten fr samhllsskydd och beredskap 2. Tydliggr roller och ansvar Exempel p aktiviteter:

Skapa en informationsskerhetspolicy fr industriella informations- och styrsystem. Ansvarsfrdelningen fr skerhetsfrgor tydliggrs enklast p detta vis. Policyn kan antingen vara ett separat dokument, som d mste relateras till organisationens vriga policydokument, eller s kan frgan lsas genom tillgg i organisationens informationsskerhetspolicy. Samordna roll- och ansvarsfrdelningen hos de administrativa informationssystemen och de industriella informations- och styrsystemen. Det br tydligt framg vilka system som organisationens centrala it-std frvaltar och vilka system som frvaltas lokalt ute i produktionen. Lt organisationens centrala it-std ansvara fr den totala integrationen och skapa en sammanhllen syn p skerhetsfrgorna trots att vissa system frvaltas lokalt. Dokumentera tydligt vilka krav som stlls p en systemgare. Myndigheten fr samhllsskydd och beredskap

2. Tydliggr roller och ansvar Exempel p ml fr skerhetsarbetet: Det finns en ansvarig fr den vergripande skerheten i de industriella informations- och styrsystemen. Fr varje verksamhetskritiskt system finns det en person som r utsedd till systemgare. Systemgarnas arbetsuppgifter, ansvar, resurser och mandat r tydligt dokumenterade. Alla systemgare r medvetna om sitt ansvar. Det finns dokumenterade krav som stlls p en systemgare, ssom kompetens, utbildning, skerhetsklassning, et cetera. Myndigheten fr samhllsskydd och beredskap 3. Underhll processer fr systemkartlggningar och riskhantering

Exempel p aktiviteter: Inventera organisationens tillgngar och identifiera de som r kritiska genom att tillmpa ett riskbaserat synstt. Identifiera drefter de kritiska datorbaserade tillgngarna. Upprtta en dokumenterad process fr hur riskanalyser ska genomfras och under vilka frutsttningar de ska uppdateras. Vlj riskanalysmetod utifrn analysens syfte och den tillgngliga informationen. Valet av metod br ta hnsyn till mjligheten att enkelt uppdatera riskanalysen. Upprtthll en konfigurationsdatabas fr att underltta skningen av olika komponenter och parametrar i en komplicerad ntverkstopologi. Myndigheten fr samhllsskydd och beredskap 3. Underhll processer fr

systemkartlggningar och riskhantering Exempel p ml fr skerhetsarbetet: Det finns en tydlig och uppdaterad dokumentation ver verksamhetens system, informationsflden och systemberoenden. Systemen r klassificerade fr att identifiera vilka som r kritiska fr verksamheten. Det finns en tydlig och uppdaterad dokumentation ver samtliga kommunikationsvgar till och frn de industriella informations- och styrsystemen. Det finns tydliga riktlinjer fr hur, och hur ofta, klassning och riskanalyser ska genomfras i syfte att identifiera kritiska informationstillgngar. Samtliga verksamhetskritiska system och komponenter kan snabbt identifieras med hjlp av befintliga systemdiagram, konfigurationsdatabaser, ntverkskartor eller liknande. Myndigheten fr samhllsskydd och beredskap

4. Skerstll en systematisk frndringshantering Exempel p aktiviteter: Uppgradera programvara stegvis. Grna i samrd med systemleverantrer, p grund av juridiska och tekniska krav. Skerstll att den formella processen fr frndringshantering omfattar: 1. en beskrivning av vad som r belagt med tillstndskrav. 2. en procedur fr att f tillstnd att gra frndringar. 3. en beskrivning av hur tester fre och efter en frndring ska genomfras (inklusive en beskrivning av vilka frndringar som krver tester i separat testmilj). 4. krav p hur dokumentation ska uppdateras efter frndringar. 5. krav p hur personal ska ta del av frndringar (exempelvis i vilka fall det

krvs srskild utbildning av operatrer). Myndigheten fr samhllsskydd och beredskap 4. Skerstll en systematisk frndringshantering Exempel p aktiviteter: Skerstll att regler och rutiner som rr ndringar i de industriella informationsoch styrsystemen harmonierar med befintliga frndringsregler i fysiska processer eller anlggningar. Kontrollera verktyg (datorer/laptops) som anvnds fr uppdateringar av

instllningar och program. Kontrollera hanteringen av de hrd- och mjukvaruverktyg, till exempel kompilatorer och filverfringsmetoder, som anvnds i frndringsprocessen. Kontrollera enheter s att endast knd och verifierad systemprogramvara (firmware) anvnds. Genomfr differenskontroller mot tidigare versioner fre och efter alla uppdateringar. Myndigheten fr samhllsskydd och beredskap 4. Skerstll en systematisk frndringshantering Exempel p ml fr skerhetsarbetet: Det finns dokumenterade rutiner fr hur ofta alla olika system ska uppdateras eller kontrolleras. Det r mjligt att hrleda vilken hrd- och mjukvara (version och

patchning) som varit i drift, och hur den varit konfigurerad, vid en given tidpunkt. Det finns tydliga rutiner fr hur defekta systemkomponenter ska ersttas. Det finns regler fr hur externa konsulter och leverantrer fr koppla upp utrustning mot de industriella informations- och styrsystemen. Fre och efter frndringar i de industriella informations- och styrsystemen informeras alltid berrda parter om frndringen. Frndringar (konfigurationer, patchning, et cetera) testas alltid i srskilt testnt innan de installeras i skarp drift. Myndigheten fr samhllsskydd och beredskap 5. Skerstll systematisk kontinuitetsplanering och incidenthantering Exempel p aktiviteter: Upprtta och underhll incidenthanteringsrutiner och kontinuitetsplaner

fr de industriella informations- och styrsystemen. Analysera incidenter fr att faststlla och frst ursprungsproblem, omfattning (spridning), direkta och indirekta konsekvenser. Kontrollera till exempel om det r enkla fel och om de uppstod p grund av uppstliga eller ouppstliga hndelser. Myndigheten fr samhllsskydd och beredskap 5. Skerstll systematisk kontinuitetsplanering och incidenthantering Exempel p aktiviteter: Se till att fljande punkter ingr i kontinuitetsplaneringen: rutiner fr att skta verksamheten manuellt (driva processen utan datorstd) rutiner fr att terstlla bde data och konfigurationsinstllningar samt

terstarta processen kontaktuppgifter till systemgare, operatrer, drifttekniker, vrig personal, leverantrer och support beskrivning av supportavtal och instllelsetider beskrivning av hur centrala komponenter i styrsystemet teranskaffas beskrivning av hur, och varifrn, nddrift genomfrs om strningen r allvarlig. Myndigheten fr samhllsskydd och beredskap 5. Skerstll systematisk kontinuitetsplanering och incidenthantering Exempel p ml fr skerhetsarbetet: Kontinuitetsplanerna tcker in kritiska informationstillgngar i de industriella informations- och styrsystemen. Det finns en dokumenterad process fr framtagning och underhll av kontinuitetsplaner. Det finns tydliga definitioner av vad som r en incident och hur olika typer

av incidenter ska hanteras. Samtliga anstllda, inklusive ledningen, ser positivt p att medarbetare meddelar en relevant del av organisationen, till exempel systemgare, om funna svagheter eller srbarheter i system, organisation, dokumentation, et cetera. Rapporterade incidenter analyseras omedelbart och rapporteras enligt fastslagna intervall till hgsta ledningen. Myndigheten fr samhllsskydd och beredskap 6. Inkludera skerhetskrav frn brjan i all planering och upphandling Exempel p aktiviteter:

Anvnd hot- och riskanalyser samt olika kartlggningar fr att samla in krav. Flj upp att leverantrerna lever upp till detaljerade krav p skerhetsoch skyddsfunktioner i system och applikationer. Krv att leverantrerna redovisar vilka egna metoder eller processer (exempelvis interna utvecklarhandbcker) som anvnds fr att garantera kvaliteten p det egna skerhetsarbetet. Var noga med att leverantrer som fr information om de industriella informations- och styrsystemen skriver p sekretess- och skerhetsavtal. Stll krav p att driftsatt utrustning ska kunna testas p ett skert stt. En styrdator ska till exempel klara av den trafikvolym som uppstr vid ett penetrationstest. Myndigheten fr samhllsskydd och beredskap 6. Inkludera skerhetskrav frn brjan i all planering och upphandling Exempel p aktiviteter:

Skerstll att det finns dokumenterade rutiner fr hur skerhetsaspekter ska beaktas vid upphandling. Genomfr regelbundna revisioner fr att skerstlla efterlevnaden. Myndigheten fr samhllsskydd och beredskap 6. Inkludera skerhetskrav frn brjan i all planering och upphandling Exempel p ml fr skerhetsarbetet: Det finns dokumenterade rutiner fr hur informationsskerhetsfrgor ska hanteras vid all upphandling av varor och tjnster. Regelbundna revisioner genomfrs fr att skerstlla att upphandlingsrutinerna fljs. Skerhetsaspekter r alltid dokumenterade fr produkter och tjnster som

levereras av externa parter. Alla externa leverantrer som fr information om de industriella informationsoch styrsystemen skriver alltid p ett sekretess- och skerhetsavtal. All utrustning och tillhrande verksamhetsprocesser som r kopplade till de industriella informations- och styrsystemen testas innan de driftstts. Ledningen skerstller alltid att ansvariga frn process-sidan r involverade i it-upphandlingar med bring p de industriella informationsoch styrsystemen. Myndigheten fr samhllsskydd och beredskap 7. Mjliggr en god skerhetskultur och hj medvetenheten om behovet av skerhet Exempel p aktiviteter: Etablera ett administrativt skerhetsprogram fr att skapa ett generellt

frhllningsstt till it. Det ger ett bra skerhetsmedvetande, uppmuntrar till ett kritiskt tnkande samt skapar en positiv attityd till att arbeta med sdant som hjer skerheten. Innan en person fr tillgng till de industriella informations- och styrsystemen ska han eller hon genomg lmplig utbildning. Det r viktigt att ledningen frstr vikten av utbildning, avstter tillrckliga resurser och kontinuerligt reviderar verksamhetens program fr kompetensutveckling. Myndigheten fr samhllsskydd och beredskap 7. Mjliggr en god skerhetskultur och hj medvetenheten om behovet av skerhet Exempel p ml fr skerhetsarbetet: Det finns en tydlig plan ver vilka skerhetsutbildningar som krvs av personal

som jobbar med de industriella informations- och styrsystemen, eller har fysisk eller logisk tillgng till dem. Hgsta ledningen frstr och godknner utbildningsplanen minst en gng om ret. Det finns en enhet inom organisationen som regelbundet utvrderar verksamhetens frhllningsstt till informationsskerhet och rapporterar till ledningen. Minst en aktivitet arrangeras varje r d processtekniker och it-personal trffas och diskuterar skerhetsfrgor. Nyanstlld personal och externa konsulter fr alltid grundlggande skerhets-utbildning innan de ges fysisk eller logisk tillgng till de industriella informationsMyndigheten fr samhllsskydd och beredskap och styrsystemen. 8. Arbeta med en skerhetsarkitektur Exempel p aktiviteter:

Utforma skerhetsarkitekturer fr industriella informations- och styrsystem som innefattar principer och skerhetskoncept fr: ntverksskerhet systemskerhet applikationsskerhet driftoperativa skerhetsfrgor. Dela upp de industriella informations- och styrsystemen i olika zoner med skyddsniver som anpassats efter hur kritiska de olika systemen r. Beroende p bland annat system- och informationsklassificering kan ven s kallade subzoner behva skapas. Dela upp ntverket utifrn funktionell klassificering. Myndigheten fr samhllsskydd och beredskap

8. Arbeta med en skerhetsarkitektur Exempel p aktiviteter: Datatrafik ver zongrnser br hanteras extra restriktivt och ven vervakas och loggas. Fr vissa typer av it-miljer kan det vara bra att anvnda datadioder och dataslussar. Fr in funktioner fr vervakning, larm, sprbarhetsloggar, ntverksinspelning och analys i zongrnser.

Undvik att ansluta it-system och dess stdfunktioner (till exempel datalagring) till flera zoner parallellt (s kallad multihoming), d det kortsluter zonuppdelningen och aktivt motverkar zonmodellen som skerhetskoncept. Placera oskra tjnster och andra externa anslutningar i demilitariserade zoner (DMZ). Myndigheten fr samhllsskydd och beredskap 8. Arbeta med en skerhetsarkitektur Exempel p aktiviteter: Skapa en elektronisk skerhetsperimeter (logiskt skalskydd) runt de industriella informations- och styrsystemen. Notera att de administrativa

systemen ligger utanfr denna skerhetsperimeter. Ntverksarkitekturen br vara segmenterad med verlappande skerhetsmekanismer. Anvnd grna olika kommunikationsprotokoll mellan olika delar av ntverket. Om ett protokoll anvnds mellan styrsystemet och en DMZ, s br ett annat protokoll anvndas fr den vidare kommunikationen mellan DMZ:n och organisationens administrativa informationssystem. Myndigheten fr samhllsskydd och beredskap 8. Arbeta med en skerhetsarkitektur Exempel p ml fr skerhetsarbetet: Verksamhetens olika delar r indelade i olika zoner. Indelningen r dokumenterad.

Inga it-system r anslutna till mer n en zon. Skerhetsarkitekturen innefattar koncept fr sprbarhet och loggning av vertrdelser, felaktigheter och attackfrsk. Arkitekturen har skyddsmekanismer fr konfidentialitet, riktighet och tillgnglighet. Trafik som gr mellan tv olika zoner loggas alltid. Grnserna mellan tv zoner r frsedda med larm- och vervakningsfunktioner. Om de administrativa systemen r sammankopplade med de industriella informations- och styrsystemen r de separerade med en demilitariserad zon. Myndigheten fr samhllsskydd och beredskap 9. vervaka kontinuerligt anslutningar och system fr att detektera intrngsfrsk Exempel p aktiviteter:

vervaka kontinuerligt externa anslutningar och interna system fr att detektera alla former av intrngsfrsk. Analysera kontinuerligt loggar och sprdata frn intrngsdetekteringssystem. Spara loggar och sprdata frn intrngsdetekteringssystem lngsiktigt. Dessa behvs nr en eventuell efterforskning pbrjas, vilket kan bli aktuellt lng tid efter det initiala problemet. Det br finnas en roll med ansvar fr att fnga upp eventuella varningar frn de tekniska systemen. Myndigheten fr samhllsskydd och beredskap

9. vervaka kontinuerligt anslutningar och system fr att detektera intrngsfrsk Exempel p ml fr skerhetsarbetet: Alla delsystem vervakas dygnet runt med avseende p misstnkt aktivitet. Det finns alltid minst en person i tjnst som omedelbart blir informerad om misstnkta intrngsfrsk. Om intrngsfrhindrande skydd anvnds finns alltid en dokumenterad riskanalys som skerstller att systemet inte sls ut p grund av felaktig avvisning av trafik. Logghndelser och larm frn alla intrngsdetekteringssystem loggas och sparas p sker plats i minst sex mnader. Loggarna frn intrngsdetekterings- och incidenthanteringssystemen analyseras regelbundet. Myndigheten fr samhllsskydd och beredskap

10. Genomfr regelbundet riskanalyser Exempel p aktiviteter: Genomfr riskanalyser av industriella informations- och styrsystem. En riskanalys kan utfras fr ett avgrnsat delsystem eller fr en mer vergripande verksamhet. Uppdatera riskanalyserna i enlighet med de metoder som tidigare har faststllts och dokumenterats. Vilken riskanalysmetod som anvnds i det specifika fallet beror p syftet med analysen och vilken information som finns tillgnglig om det aktuella systemet och dess tnkbara hot. Kom ihg att uppdatera systemkartlggningen (systemdiagram, konfigurations-databaser och liknande) vid en uppdatering av

riskanalysen om det behvs. Utifrn den verksamhetsanalys som organisationen tidigare genomfrt br det vara definierat vilka system och vilka informationsresurser som r verksamhetskritiska. Myndigheten fr samhllsskydd och beredskap 10. Genomfr regelbundet riskanalyser Exempel p aktiviteter: Dokumenteringen av riskanalysen br ske p ett frutbestmt stt och godknnas av ledningen. Dokumentationen br tminstone omfatta upptckta srbarheter, bedmning av risker samt beskrivning och prioritering av

mjliga tgrder. Fr att genomfra en riskanalys kan fljande information behvas: Incident- och strningsdata (loggar och material frn omvrldsbevakningen), resultat frn genomfrda skerhetsgranskningar (skerhetstester och administrativa revisioner) samt checklistor. Myndigheten fr samhllsskydd och beredskap 10. Genomfr regelbundet riskanalyser Exempel p ml fr skerhetsarbetet: Ledningen har fastslagit hur ofta riskanalyser p respektive kritisk informations-tillgng ska genomfras. Det finns en dokumenterad metodbeskrivning ver riskanalyser som grs p informationstillgngar anslutna till de industriella informations- och styrsystemen.

Ledningen fattar alltid det formella beslutet om vilka risker som r oacceptabla. Det finns ett vl fungerande system fr att registrera och hantera uppdagade risker. Pltsligt uppdagade risker med stora konsekvenser hanteras alltid omedelbart. Myndigheten fr samhllsskydd och beredskap 11. Genomfr regelbundet teknisk skerhetsgranskning Exempel p aktiviteter:

Genomfr regelbunden teknisk skerhetsgranskning av industriella informations- och styrsystem och anslutna ntverk. Praktiska tester kan negativt pverka styrsystem och processer, s drfr br dessa enbart utfras efter noggranna frberedelser och efter att man har frsttt vilka konsekvenser testerna kan medfra. Anvnd i stllet passiva metoder och undersk exempelvis manuellt hur routrar r konfigurerade. Om aktiva tester ska genomfras, gr d dessa i ett separat testsystem eller i ett styrsystem som inte r i drift. Kontinuerlig omvrldsanalys br genomfras fr att man ska f kunskap om uppdagade srbarheter som kan pverka de egna informations- och styrsystemen. Myndigheten fr samhllsskydd och beredskap 11. Genomfr regelbundet teknisk skerhetsgranskning Exempel p ml fr skerhetsarbetet:

Det finns faststllda rutiner och intervall fr genomfrande av tekniska skerhetsgranskningar. En skerhetsgranskning genomfrs aldrig utan godknnande av berrd behrig ansvarig. All kartlggning av driftsatta informations- och styrsystem genomfrs bara med passiva metoder. Det finns en ansvarig fr omvrldsanalys fr att skerstlla knnedom om uppdagade srbarheter i produkter. I detta ansvar ingr regelbundna kontakter med leverantrer. Myndigheten fr samhllsskydd och beredskap 12. Utvrdera lpande det fysiska skyddet Exempel p aktiviteter: Fysiskt skydd br utfras i flera led ven hr gller principen om

djupledsfrsvar och det br bland annat inkludera: skydd av knsliga lokaler fysiskt skalskydd, tilltrdesskydd, inbrottslarm, kameravervakning och bevakning, brandskydd och s vidare. behrighetskontroll se till att endast behriga personer har tillgng till knslig information och viktiga driftlokaler. sprbarhet som gller personer och tillgngar se till att bde personer och utrustning stannar i behrigt omrde exempelvis br inte brbar utrustning ssom laptops fr programmering av PLC:er lmnas obevakade. kablar fr kommunikation minimera risken fr att kablar och korskopplingsutrymmen utstts fr avlyssning eller manipulation. kontroll av miljfaktorer exempelvis ventilation och kraftfrsrjning. Myndigheten fr samhllsskydd och beredskap 12. Utvrdera lpande det fysiska skyddet Exempel p aktiviteter:

Etablera en god niv p det fysiska skyddet i samtliga anlggningar och utrymmen. Balansera de fysiska och logiska skydden s att de r harmoniserade. God fysisk skerhet utan motsvarande insatser p logisk skerhet, eller det omvnda, kan urholka de insatser som gjorts. Myndigheten fr samhllsskydd och beredskap 12. Utvrdera lpande det fysiska skyddet Exempel p ml fr skerhetsarbetet: Fysiska placeringar av de kritiska informationstillgngarna hlls kontinuerligt dokumenterade och dokumentationen fr detta klassas ocks som en kritisk informationstillgng. Brandskydd och fastighetssystem ses ver enligt fastslagna rutiner. Kablar och korskopplingsutrymmen fr kommunikation mellan fltutrustning

och vriga system r noga kartlagda och skyddade frn avlyssning, manipulation och verkan. Det finns tydliga rutiner fr behrighetskontroll till alla platser dr kritiska informationstillgngar finns. Allt fysiskt skalskydd till lokaler som hrbrgerar kritiska informationstillgngar ses ver med regelbundna intervall. Myndigheten fr samhllsskydd och beredskap 13. Kontrollera regelbundet att endast skra och relevanta anslutningar till systemet existerar Exempel p aktiviteter:

Skerstll regelbundet att enbart relevanta anslutningar till de industriella informations- och styrsystemen existerar, samt att dessa r tillrckligt skra. Eliminera ondiga anslutningar. Alla anslutningar som finns ska vara formellt sanktionerade av behrig ansvarig roll. Fjrrtkomst fr leverantrer eller tkomst fr personal med jourtjnstgring krver srskild tillsyn. Fr att skapa en godtagbar skerhet br kombinationer av olika metoder anvndas, exempelvis motringning, begrnsningar i uppkopplingstiden, frstrkt autentisering samt inskrnkningar i vilka kommunikationsmetoder som kan anvndas och till vilka datorer dessa kan nyttjas. Alla anvndar- och systemkonton ska endast ha ndvndiga behrigheter. Tillgng till filer, applikationer och systemresurser br nekas om de inte r explicit tilltna. Alla konton br vara frsedda med stark autentisering. Myndigheten fr samhllsskydd och beredskap 13. Kontrollera regelbundet att endast skra och relevanta anslutningar till systemet existerar

Exempel p ml fr skerhetsarbetet: Alla portar och ntverkstjnster som inte behvs r avaktiverade. Alla aktiva tjnster r dokumenterade. Modem (eller andra mekanismer fr fjrrtkomst) avsedda fr leverantrer och konsulter kan bara anvndas under specifika tider och srskilda omstndigheter. Alla kopplingar mellan de administrativa systemen och de industriella informations- och styrsystemen r sanktionerade av behrig ansvarig roll. Anslutningar till fysiska skydd (exempelvis larm, fastighetssystem, videovervakning, et cetera) r fysiskt separerade frn annan utrustning. Myndigheten fr samhllsskydd och beredskap 14. Hrda och uppgradera systemet i samverkan med systemleverantrer Exempel p aktiviteter:

Hrda och uppgradera industriella informations- och styrsystem s att de blir s skrade som mjligt. Underhll systemens skerhet ver tid genom att fortstta med installation av patchar, uppgraderingar eller liknande. Se till att dokumentera alla frndringar som genomfrs. Logga grna detta i en konfigurationsdatabas. Rekommendationerna gller ven alla kringliggande system och hjlpmedel exempelvis laptops som anvnds av supporttekniker fr att underhlla och driva funktionen. Vid byte av utrustning eller delkomponenter br alla nya komponenter hrdas vid installationen. All hrdning och uppgradering ska hanteras enligt rutiner fr frndringshantering (se rekommendation 4). Myndigheten fr samhllsskydd och beredskap 14. Hrda och uppgradera

systemet i samverkan med systemleverantrer Exempel p ml fr skerhetsarbetet: Det finns en tydlig dokumentation ver hur och nr systemhrdning ska genomfras eller har genomfrts. Alla uppgraderingar, omkonfigurationer och patchningar dokumenteras. Standardlsenord till alla funktioner i all utrustning r utbytta mot kvalificerade lsenord. Samtliga anvndares tkomstrttigheter ses ver med fastslagna intervall. All tillgng till filer och applikationer i de industriella informations- och styrsystemen nekas om inte rttigheter r explicit givna. Minimala rttigheter och ansvarstskillnad och -frdelning rder (Separation/segregation of duties). Myndigheten fr samhllsskydd och beredskap 15. Genomfr utbildning och vning av incidenter i systemen

Exempel p aktiviteter: Se till att alla som har ansvar inom omrdet har upparbetat god kompetens och att de genom kompetensutveckling behller denna kompetensniv inom sina respektive mnesomrden. Planera och genomfr olika typer av vningar inom omrdet it-relaterade incidenter inom industriella informations- och styrsystem. Som ett inledande steg kan vningar anvndas som ett lrande moment inom incidenthantering dr it har ett centralt inslag. Nr rutiner, process-steg och kunnande finns p plats kan vningarna istllet ha som ml att behlla kompetens men ven utvrdera och finjustera rutiner, metoder, verktyg och arbetsformer. Ha en dokumenterad strategi fr vnings- och utbildningsverksamhet som

regelbundet stms av med ledningen. Det br finnas en roll med ansvar fr att uppdatera vnings- och utbildningsstrategin. Myndigheten fr samhllsskydd och beredskap 15. Genomfr utbildning och vning av incidenter i systemen Exempel p ml fr skerhetsarbetet: Det finns ett utbildningspaket som alla mste genomg innan de ges tilltrde till de industriella informations- och styrsystemen. Alla anstllda i roller som berr skerheten i de industriella informationsoch styrsystemen deltar minst vartannat r i en seminarie- eller simuleringsvning. Samtliga medarbetare som jobbar med industriella informations- och styrsystem kan redogra fr de vanligaste angreppstyperna som en illasinnad kan anvnda. Det finns en roll inom verksamheten som ansvarar fr personalens kompetens-utveckling inom informationsskerhet i de industriella

informations- och styrsystemen. Ledningen godknner varje r kompetensutvecklings- och vningsplanen. Myndigheten fr samhllsskydd och beredskap 16. Flj upp incidenter och bevaka skerhetsproblem i omvrlden Exempel p aktiviteter: Stt ihop en grupp som regelbundet samlas fr att diskutera incidenter och riskproblem, och analysera hur dessa kan pverka skerheten i organisationens informations- och styrsystem. Gruppen br best av representanter frn ledningen samt frn bde processkontroll-och it-sidan. Det r viktigt att skapa en kultur dr medarbetare vgar bertta om incidenter och skerhetsbrister utan att

hngas ut som syndabockar. Bevaka ven skerhetsproblem i vanliga it-skerhetskomponenter d dessa ofta r grunden eller delkomponenter i de it-lsningar som styr de industriella informations- och styrsystemen. En bugg i Cisco-utrustning eller i en Windows-dator kan vara lika allvarlig som en skerhetsbugg i programvaran som styr de industriella informations- och styrsystemen. Myndigheten fr samhllsskydd och beredskap 16. Flj upp incidenter och bevaka skerhetsproblem i omvrlden Exempel p ml fr skerhetsarbetet: Det finns en grupp som samlas vid regelbundna intervall fr att kartlgga nya hotbilder med avseende p hndelser i omvrlden. Det finns en grupp som samlas vid regelbundna intervall fr att analysera incidenter i den egna verksamheten. Medarbetare som jobbar med industriella informations- och styrsystem

kan redogra fr det senaste halvrets incidenter i den egna verksamheten. Medarbetare som jobbar med industriella informations- och styrsystem kan redogra fr de informationsskerhetsincidenter i omvrlden under det senaste halvret som r relevanta fr verksamheten. Analyser av incidenter terrapporteras alltid till berrda medarbetare. Myndigheten fr samhllsskydd och beredskap 17. Samverka i anvndarfreningar, standardiseringsorgan och andra ntverk fr skerhet i industriella informations- och styrsystem Exempel p aktiviteter: Samverka i anvndarfreningar, sociala ntverk och organisationer som

kompetensutvecklar och stdjer medlemmarna i deras dagliga skerhetsarbete. Se till att representationen dokumenteras och att aktiviteter som genomfrs i respektive ntverk kontinuerligt avrapporteras till berrda medarbetare. Stm av representationen med ledningen och motivera p vilket stt deltagande i ntverken strker skerheten i verksamheten. Myndigheten fr samhllsskydd och beredskap 17. Samverka i anvndarfreningar, standardiseringsorgan och andra ntverk fr skerhet i industriella informations- och styrsystem Exempel p ml fr skerhetsarbetet: Verksamheten finns representerad i minst ett aktivt nationellt ntverk med fokus p informationsskerhet i industriella informations- och styrsystem.

Det finns en tydlig dokumentation ver vilka personer som deltar i vilka ntverk. Medarbetare som deltar i ngot ntverk terrapporterar kontinuerligt till vriga medarbetare och till ledningen. Samtliga berrda medarbetare knner till vilka ntverk verksamheten deltar i. Omfattning av deltagande i ntverk och standardiseringsorgan stms rligen av med ledningen. Myndigheten fr samhllsskydd och beredskap www.msb.se/ics Myndigheten fr samhllsskydd och beredskap

Recently Viewed Presentations

  • Examples of using Bibliographic Tags and MARC Holdings tags ...

    Examples of using Bibliographic Tags and MARC Holdings tags ...

    [must also add identical note in the DANA current control record] LSM unit library New Title (control record) First expected issue of new title on the DANA current control record Reminder for receiving staff to delete "awaiting receipt of first...
  • Linked Open Data

    Linked Open Data

    Basic Ideas behind RDF RDF uses Web identifiers (URIs) to identify resources RDF describes resources with properties and property values Everything can be represented as triples The essence of RDF is the (s,p,o) triple Resource (subject) Value (object) Property (predicate)...
  • Fundamentals of Metal Forming ME 482 - Manufacturing

    Fundamentals of Metal Forming ME 482 - Manufacturing

    Fundamentals of Metal Forming Fundamentals of Metal Forming Bulk deformation vs Sheetmetal working Bulk deformation * Low surface area to volume ratios * Operations increase surface area to volume ratios Operations are: rolling extrusion forging drawing This group of machines...
  • Agus Gobbetti Marton Pintore Vazquez - EG2017 Tutorial 4 ...

    Agus Gobbetti Marton Pintore Vazquez - EG2017 Tutorial 4 ...

    Since each tile consists of a display list that includes each polygon in that tile, hidden surface removal can occur before any textures are applied. Once again this significantly reduces the amount of information that must travel over the memory...
  • Commentary Resources and references used to develop this

    Commentary Resources and references used to develop this

    Private commentary identifies the features of a work sample that illustrate the relevant parts of a standard(s) as well as feedback and guidance for next steps. Private commentary is meant for the student, teacher and parent, not the public. (You...
  • 1 Computers, data and information A computer is

    1 Computers, data and information A computer is

    ICT in supermarkets Supermarket checkouts are called EPOS terminals ICT in supermarkets UK supermarkets use the European Article Number or EAN barcode system 50 01935 01432 3 The first 2 digits identify the country where the product was made. The...
  • Postmodernism - Sociology

    Postmodernism - Sociology

    Cultural Hybridity. Identity created by globalisation. Alternatives. Giddens - late/high modernity - we live in a runaway world a 'risk society' but doesn't mean we have moved into a new era - traditional sociological theories still relevant.
  • COSMIC-II Data Latency

    COSMIC-II Data Latency

    Follow-On Radio Occultation Constellations for Meteorology, Ionosphere and Climate: Overview of Currently Planned Missions, Data Quality and Coverage, and Potential Science Applications