Ragnar Nordberg, Göteborg
Ragnar Nordberg, Göteborg
Ragnar Nordberg, Göteborg
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
SU:s metod för säkerhetsgranskning<br />
av<br />
meddelandeöverföring<br />
•En ”styrande” metod<br />
Förarbete<br />
med<br />
•Formaliserad dokumentation<br />
byggd på<br />
•Väl dokumenterade regler för<br />
informationssäkerheten RN<br />
Metodens huvudkomponenter<br />
Uppstart och<br />
utbildning<br />
Processplan<br />
bestående av:<br />
Godkännandeochibruktagandeprocess<br />
Granskningsochbedömningsprocessen<br />
Åtgärdsprocess<br />
Informationssäkerhetsregler<br />
Kontinuitet<br />
Uppföljning<br />
av<br />
Informationssäkerhetsarbetet<br />
Första steget "Sammanställning av beslutade<br />
informationssäkerhetsregler" är av mycket stor<br />
betydelse.<br />
Det dokumentet utgör en referensram för det<br />
fortsatta arbetet.<br />
02-11-05<br />
RN 02-11-05<br />
RN 02-11-05<br />
Erfarenheter<br />
Pilotprojekt och metoduppbyggnad har<br />
visat att alla kräver en metod som på<br />
enkelt sätt styr/leder arbetet med att:<br />
• granska / analysera<br />
• dokumentera<br />
• utvärdera<br />
• överenskomma<br />
• följa upp och förnya<br />
säkerheten i meddelandeöverföringen<br />
Sammanställning<br />
av beslutade<br />
informationssäkerhetsregler<br />
Sammanställning<br />
av beslutade<br />
informationssäkerhetsregler<br />
Skapa dokumentationsmall<br />
Skapa dokumentationsmall<br />
Förarbeten<br />
Förarbeten<br />
Skapa kvalitetsmallar<br />
och<br />
checkpunktlista<br />
Skapa kvalitetsmallar<br />
och<br />
checkpunktlista<br />
Skapa<br />
avtalsmall<br />
Skapa<br />
avtalsmall<br />
RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05
RN 02-11-05<br />
Systemgranskning baserat på SWEDAC's krav<br />
Checklista - Övergripande<br />
P Ansvarig Beskrivning omfattande Upprättat av Datum Version<br />
(J/N/E innebär Ja, Nej eller Ej tillämpligt)<br />
Dokumentation<br />
k funktion J/N/E Styrt<br />
t Checkpunkter Beteckning J/N<br />
1 Nya IT Finns en beskrivning över ingående och använda funktioner? N<br />
2 SU IT Finns en grafisk systemskiss som visar på ingående och samverkande komponenter? N<br />
3 Nya IT Finns en översiktlig beskrivning av dataflödet mellan olika processer? N<br />
Finns beskrivningar över gränssnitt till alla andra system inklusive transaktionsformat? N<br />
4 Nya IT Finns handbok/hjälptext på svenska för användare? (J)<br />
5 SU IT Finns skydd mot otillbörlig åtkomst? (J)<br />
6 SU IT Finns skydd mot virus? (J)<br />
7 IT-säk avd Finns dokumenterade krav på säkerhet och sekretess? J<br />
8 IT-säk avd Finns dokumenterade behörighetsregler? J<br />
9 SU IT Finns avtal som tydligt beskriver respektive parts ansvar i supportkedjan? N<br />
10 SU IT Finns dokumenterade rutiner för förändringshantering inklusive beslutsgång? (J)<br />
11 SU IT Finns dokumenterade krav på tillgänglighet och leveransförmåga? N<br />
12 SU IT Finns det dokumenterade rutiner för rapportering av driftstörningar och andra avvikelser? N<br />
13 Nya IT Finns det dokumenterade rutiner för att följa upp nyttan och föreslå förbättringar? N<br />
14 Nya IT / SU IT Finns det beskrivet vilken kompetens som behövs i alla led för att säkra kvaliteten? N<br />
RN 02-11-05<br />
Kvalitets mallar och checklista<br />
• ”Nuvarande läge” - ”Skall vara”<br />
• Arbetet med dokumentationen underlättas<br />
av att den är formaliserad.<br />
• Svaren till frågorna i dokumentationen är<br />
standardiserade för att det skall vara<br />
möjligt att utföra någon form av jämförelse.<br />
• Svarsalternativen finns inlagda i<br />
dokumentationsformulärets<br />
"rullgardins menyer".<br />
Kvalitets mallar och checklista<br />
För att kunna täcka upp de frågor som<br />
är gränsöverskridande så finns i<br />
metoden en checklista med 30-talet<br />
frågor som är baserade på ett urval av<br />
de krav som ISO/IEC 1 7799 ställer.<br />
Negativa svar på dessa frågor<br />
dokumenteras och utgör också en del<br />
av underlaget för riskanalysen.<br />
RN 02-11-05 RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05
Sammanställning<br />
av beslutade<br />
informationssäkerhetsregler<br />
Introduktion<br />
i Informationssäkerhet<br />
Förarbeten<br />
Skapa dokumentationsmall<br />
Skapa kvalitetsmallar<br />
och<br />
checkpunktlista<br />
Uppstart - Utbildning<br />
Introduktion<br />
av<br />
metoden<br />
Definiera<br />
granskningsområde<br />
Skapa<br />
avtalsmall<br />
Genomför<br />
nyttoanalys<br />
Introduktion av granskningsmetoden<br />
Det är mycket viktigt att de som skall genomföra<br />
granskningsprocessen är väl införstådda med metodiken.<br />
Introduktionen skall beröra:<br />
information om ISO/IEC 1 7799 standarden<br />
information om sjukhusets ”Anvisningar om<br />
informationssäkerhet”<br />
hela processen<br />
upplägget av dokumentationsformuläret på web-sidan,<br />
kvalitetsmallarna,<br />
checklistan,<br />
riskanalys,<br />
åtgärdsplaner,<br />
utvärdering av det ifyllda dokumentationsformuläret,<br />
presentation för systemägarna,<br />
avtalsskrivning,<br />
upplägg av driftstart<br />
RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05<br />
Avtalsmall<br />
- När riskanalysen är genomförd och åtgärdsplaner<br />
är upprättade så skall ett avtal upprättas mellan<br />
ingående parter i informationsöverföringen.<br />
- För att underlätta detta avtalsskrivande så har<br />
projektet tagit fram en avtalsmall tillsammans med<br />
en av regionens jurister.<br />
- Om inga risker finns i meddelandeöverföringen<br />
eller om parterna är överens om att riskerna är<br />
hanterbara, så undertecknas avtalet och<br />
meddelandeöverföringen tas i drift.<br />
- Dokumentationsformuläret är en del av avtalet.<br />
Introduktion av säkerhetsreglerna<br />
För att det skall lyckas med ett informationssäkerhetsarbete<br />
av den här storleken är det<br />
av stor betydelse att alla inblandade parter<br />
får en utbildning i de informationssäkerhetsregler<br />
som gäller på sjukhuset.<br />
Introduktionen är avsedd för<br />
systemägarna<br />
systemförvaltarna<br />
kvalitetssamordnare/ansvariga<br />
tekniker och driftpersonal som ansvarar<br />
för teknisk säkerhet<br />
de personer som sjukhuset utsett att förvalta<br />
och vidareutveckla granskningsprocessen<br />
RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05
Definiera granskningsområde<br />
• Ett villkor för att nå kvalité i informationsöverföringarna<br />
är att de är väl definierade.<br />
• Därför skall varje process föregås av en<br />
tydlig definition / specifikation av den<br />
informationsöverföring som granskningen<br />
avser innan metodprocessen startas.<br />
För att arbetet skall få acceptans bland de<br />
verksamhetsansvariga måste de ansvariga för<br />
informationsöverföringen utvärdera;<br />
kostnaderna för det arbete som krävs<br />
värdet av den höjda säkerheten i informationsöverföringarna<br />
värdet av att bibehålla de ackrediteringar som<br />
berörda verksamheter har uppnått mm<br />
Förarbeten<br />
Sammanställning<br />
av beslutade ITsäkerhetsregler<br />
System /<br />
Systemägare<br />
IT-drift<br />
Infrasrtuktur<br />
(nät, CFR,<br />
sjukhusliggaren<br />
mm)<br />
Revision eller<br />
Granskning p.g.a.<br />
Incidentrapporter<br />
ändrade säkerhetsregler,<br />
nyttoanalyser mm<br />
Åtgärdsplan<br />
Systemvis jämförelse<br />
av åtgärdsplaner<br />
Skapa dokumentationsmall<br />
Bilda<br />
granskningsgrupper<br />
Systemägarintern<br />
fråga?<br />
Nej<br />
Samlad<br />
åtgärdsplan<br />
Skapa kvalitetsmallar<br />
och<br />
checkpunktlista<br />
Överlämning<br />
till drift<br />
Nyttoanalys<br />
Dokumentera enl.<br />
dokumentaionsformuläret<br />
och<br />
kvalitetsmallarna<br />
Ja<br />
Hela processen<br />
Granskning<br />
enligt<br />
checkpunkterna<br />
Systemägarbeslut<br />
finansiering<br />
Prioritering<br />
Skapa<br />
avtalsmall<br />
Meddelandeutväxlingsavtal<br />
upprättas<br />
Gemensamma<br />
granskningsgruppens<br />
bedömning<br />
Beslut och<br />
finansiering<br />
Uppstart - Utbildning<br />
Introduktion<br />
i informationssäkerhet<br />
Genomgång<br />
med<br />
systemägarna<br />
Introduktion<br />
av analysmetoden<br />
Åtgärd<br />
Bedömning<br />
av ev risker<br />
Genomför<br />
nyttoanalys<br />
Nej<br />
Beslut<br />
OK?<br />
Ja<br />
Säkerhetsgranskning<br />
OK?<br />
Ja<br />
Nej<br />
Definiera<br />
granskningsområde<br />
RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05<br />
Introduktion<br />
i Informationssäkerhet<br />
Uppstart - Utbildning<br />
Introduktion<br />
av<br />
metoden<br />
Definiera<br />
granskningsområde<br />
Genomför<br />
nyttoanalys<br />
En mall för beräkningar av kostnader och<br />
nyttoeffekter måste användas för att;<br />
• underlätta analysen<br />
• spara tid<br />
Nyttoanalysmall<br />
• beräkningarna skall bli koncistenta och<br />
jämförbara<br />
Förarbete<br />
Metodens huvudkomponenter<br />
Uppstart och<br />
utbildning<br />
Processplan<br />
bestående av:<br />
Godkännandeochibruktagandeprocess<br />
Granskningsochbedömningsprocessen<br />
Åtgärdsprocess<br />
Kontinuitet<br />
Uppföljning<br />
av<br />
Informationssäkerhetsarbetet<br />
RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05
1.<br />
2<br />
3<br />
System<br />
Systemägare<br />
Ansvarig för<br />
IT-drift<br />
Ansvarig för<br />
Infrasrtuktur<br />
Revision eller<br />
Granskning p.g.a.<br />
Incidentrapporter<br />
ändrade säkerhetsregler,<br />
nyttoanalyser mm<br />
Åtgärdsplan<br />
Systemvis jämförelse<br />
av åtgärdsplaner<br />
Bilda<br />
granskningsgrupper<br />
Överlämning<br />
till drift<br />
Systemägarintern<br />
fråga?<br />
Nej<br />
Samlad<br />
åtgärdsplan<br />
Ja<br />
Dokumentera<br />
enl. dokumentaionsformuläret<br />
Granskning<br />
enligt<br />
checkpunkterna<br />
Meddelandeutväxlingsavtal<br />
upprättas<br />
Systemägarbeslut<br />
finansiering<br />
Prioritering<br />
Gemensamma<br />
granskningsgruppens<br />
bedömning<br />
Beslut och<br />
finansiering<br />
Genomgång<br />
med<br />
systemägarna<br />
Åtgärd<br />
Granskningslinjer<br />
Bedömning<br />
av ev risker<br />
Beslut<br />
OK?<br />
Nej<br />
Ja<br />
Nej Säkerhetsgranskning<br />
OK?<br />
Ja<br />
Varje informationsöverföringsprocess kan<br />
delas upp i tre granskningslinjer.<br />
1. Den första är systemägarnas linje,<br />
avsändande och mottagande system<br />
2. För den andra linjen ansvarar den/de som<br />
ansvarar för driften av systemen.<br />
3. För den tredje linjen ansvara den/de som<br />
ansvarar för infrastrukturen, nät och<br />
allmänna servicesystem<br />
t ex CFR, sjukhusliggaren mm.<br />
Bedömning<br />
1. Efter detta samlas de tre granskningsgrupperna<br />
och går igenom dokumentationen.<br />
Vid denna genomgång definieras eventuella<br />
risker.<br />
2. Det samlade resultatet av granskningarna<br />
redovisas för systemägarna som gör en<br />
bedömning av de eventuella riskerna.<br />
RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05<br />
System /<br />
Systemägare<br />
Ansvarig<br />
för<br />
IT-drift<br />
Ansvaig för<br />
Infrasrtuktur<br />
Gransknings och bedömningsprocessen<br />
Bilda<br />
granskningsgrupper<br />
Dokumentera enl.<br />
dokumentaionsformuläret<br />
och<br />
kvalitetsmallarna<br />
Granskning<br />
enligt<br />
checkpunkterna<br />
Gemensamma<br />
granskningsgruppens<br />
bedömning<br />
Genomgång<br />
med<br />
systemägarna<br />
Bedömning<br />
av ev risker<br />
Dokumentationsprocessen<br />
1. Granskningsgrupperna skall var för sig fylla i<br />
dokumentationsformuläret och besvara de frågor i<br />
checklistan som berör deras verksamhet.<br />
2. All dokumentation skall ske i enlighet med<br />
dokumentationsmallen och frågorna besvaras<br />
med alternativen i kvalitetsmallarna.<br />
Det är mycket viktigt att dokumentationen sker<br />
på ett standardiserat sätt för att;<br />
- underlätta arbetet<br />
-spara tid<br />
- det skall vara möjligt att göra sammanställningar,<br />
jämförelser och utvärderingar av<br />
säkerheten och kvaliten i informationsöverföringarna<br />
Beslut<br />
Därefter beslutar systemägarna om informationsöverföringen<br />
kan tas i drift på grund av att det inte<br />
finns några risker med överföringen eller att riskerna<br />
anses så obetydliga att de kan åtgärdas i efterhand.<br />
I det senare fallet skall en åtgärdsplan upprättas för<br />
att komma till rätta med riskerna.<br />
Om riskerna är av sådan art att systemägarna inte<br />
anser att informationsöverföringen kan tas i drift<br />
skall en åtgärdsplan tas fram.<br />
Beslut<br />
OK?<br />
Ja<br />
Nej<br />
RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05
Godkännande- och ibruktagandeprocess<br />
Revision eller<br />
Granskning p.g.a.<br />
Incidentrapporter<br />
ändrade säkerhetsregler,<br />
nyttoanalyser mm<br />
Överlämning<br />
till drift<br />
Meddelandeutväxlingsavtal<br />
upprättas<br />
Nej<br />
Ja<br />
Säkerhetsgranskning<br />
OK?<br />
Ja<br />
Godkännande- och ibruktagandeprocess<br />
Revision eller<br />
Granskning p.g.a.<br />
Incidentrapporter<br />
ändrade säkerhetsregler,<br />
nyttoanalyser mm<br />
Överlämning<br />
till drift<br />
Meddelandeutväxlingsavtal<br />
upprättas<br />
Godkännande- och ibruktagandeprocess<br />
Revision eller<br />
Granskning p.g.a.<br />
Incidentrapporter<br />
ändrade säkerhetsregler,<br />
nyttoanalyser mm<br />
Överlämning<br />
till drift<br />
Meddelandeutväxlingsavtal<br />
upprättas<br />
Nej<br />
Nej<br />
Ja<br />
Säkerhetsgranskning<br />
OK?<br />
Ja<br />
Ja<br />
Säkerhetsgranskning<br />
OK?<br />
Ja<br />
RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05<br />
Dokumentationsgranskning<br />
Dokumentationen sänds till sjukhusets<br />
informationssäkerhetsavdelning för<br />
granskning innan processen går vidare<br />
till avtalsteckning och start.<br />
Start<br />
- Vid bedömningen att inga risker föreligger eller att<br />
riskerna är så små att de kan åtgärdas i efterhand<br />
upprättar parterna ett Meddelandutväxlingsavtal<br />
enligt den avtalsmall som tagits fram under<br />
förarbetet.<br />
- Förekommer risker i överföringen skall dessa<br />
specificeras i avtalet och åtgärdsplanerna bifogas<br />
avtalet.<br />
- Även sättet att finansiera åtgärderna skall<br />
specificeras och biläggas avtalet.<br />
- Därefter ges ett uppdrag till driftorganisationen<br />
att starta informationsöverföringen.<br />
Uppföljning<br />
Gransknings och bedömningsprocessen skall inte ses som en<br />
engångsföreteelse utan är en kontinuerligt återkommande<br />
process.<br />
Faktorer som kan utlösa nya granskningar är till exempel;<br />
incidenter<br />
lagändringar.<br />
periodisk revision av meddelandeöverföringarna.<br />
kvalitetsrevisioner<br />
Vid dessa tillfällen skall en ny granskning ske i enlighet med<br />
den ovan beskrivna processmetoden och åtgärder vidtas;<br />
som förhindrar vidare incidenter av samma sort<br />
som tar hand om de effekter som nya lagar och krav kan ha<br />
på informationsöverföringen.<br />
RN 02-11-05<br />
RN 02-11-05<br />
RN 02-11-05
Åtgärdsplan<br />
Systemvis jämförelse<br />
av åtgärdsplaner<br />
System- Ja<br />
ägarintern<br />
fråga?<br />
Nej<br />
Samlad<br />
åtgärdsplan<br />
Åtgärdsprocessen<br />
Systemägarbeslut<br />
finansiering<br />
Prioritering<br />
Beslut och<br />
finansiering<br />
Åtgärd<br />
Frågor besvaras nu<br />
eller senare<br />
per telefon 031-343 31 31<br />
eller via<br />
ragnar.nordberg@vgregion.se<br />
Nej<br />
RN 02-11-05<br />
RN 02-11-05<br />
Revision samt<br />
Granskning p.g.a.<br />
Incidentrapporter<br />
ändrade säkerhetsregler,<br />
nyttoanalyser mm<br />
Uppdatering av<br />
beslutade ITsäkerhetsregler<br />
Information om<br />
Informationssäkerhet<br />
Process för kontinuitet<br />
Uppdatera<br />
dokumentationsmall<br />
Information<br />
om analysmetoden<br />
Uppdatering av<br />
kvalitetsmallar<br />
och checkpunktslista<br />
Genomför<br />
nyttoanalys<br />
Uppdatera<br />
avtalsmall<br />
Definiera nytt<br />
granskningsområde<br />
RN 02-11-05
Change language