I februari lanserar SAMFI-gruppen i ledning av MSB ett nytt stöd för metodisk tillämpning av systematisk informationsäkerhet. Per Oscarson har varit med i arbetet med stödet. För DF Dalarna den 24 januari bjuder han på insikter från projektet likväl en genomgång av resultatet.
Informationssäkerhet är ett milt sagt dynamiskt område. Hotbilden från omvärlden, rättsliga krav och den interna organisationen förändras hela tiden. Det kräver ett systematiskt arbete med informationssäkerheten.
Därför lanserar nu SAMFI-gruppen (MSB, FRA, Försvarsmakten, Säkerhetspolisen, FMV, PTS och Polisen) ett nytt stöd för att metodiskt implementera ett systematiskt informationssäkerhetsarbete.
– Det går inte längre att förlita sig till statiska checklistor och rapporter för att hänga med i utvecklingen idag, konstaterar Per Oscarson från Oscarson Security och en av de få underkonsulter som varit med och tagit fram SAMFI-gruppens nya metodstöd för systematiskt informationssäkerhet.
Grovt beskrivet består stödet av fyra delar. ”Identifiera och analysera”, ”Utforma”, ”Använda” samt ”Följa upp och förbättra”. Ett introduktionsdokument för den ännu inte invigda kommer att ingå. Och för den organisation som har en inarbetad struktur redan, finns en hel del russin att plocka ur stödet.
24 januari besöker Per Oscarson DF Dalarna och Landstinget Dalarnas gemensamma seminarium för att berätta om stödet, hur det kan användas och ger tips till dig som vill börja arbeta systematiskt med din informationssäkerhet. Seminariet går även lite mer på djupet om informationsklassning och hur man kan arbeta med verksamhetsdrivna krav på säkerhet.
Underlättar tillämpningen
Det nya metodstödet är en utveckling av "Metodstöd för LIS" från 2010. Likt sin föregångare utgår det nya stödet från innehållet i ISO-standarderna SS-EN ISO/IEC 27001:2017 och SS-EN ISO/IEC 27002:2017, standarder som i vissa statliga myndigheter är obligatoriska att tillämpa - och inte helt lätta att omsätta i praktiken.
– Innehållet i standarderna är ganska krångligt. Det är tydligt vad som ska ingå, men inte hur man kommer dit. Varje avsnitt i stödet har en vägledning kombinerat med enklare verktyg, ofta i excel, för att lättare implementera arbetet. Tanken är att innehållet ska vara lätt att använda, anpassa eller inspireras av, säger Per Oscarson.
Stödet har tagits fram som en bas där innehållet även kan ses som en plattform för marknaden att utveckla mer avancerade systemstöd från. Stödet vänder sig främst till myndigheter, kommuner och landsting, men även större verksamheter inom näringslivet.
Input ger kontinuerlig utveckling
– Under projektets gång har näringsliv och andra offentliga organisationer också släppts in. Dels för att förankra innehållet och dels för att komma med input om hur det ser ut i olika verksamheter, berättar Per Oscarson
Till skillnad från det tidigare stödet, handlar denna mer om ett cirkulärt angreppssätt, hur informationssäkerheten kan implementeras systematiskt i verksamheten för att fortsätta vara aktuell över tid.
– Stödet kommer också att förbättras och förändras kontinuerligt. Vi efterlyser bland annat praktiska case, till exempel på hur man tagit fram olika policys och strategiska dokument. Olika organisationer ser olika ut, kan vi få in exempel på olika arbetssätt så blir stödet relevant för fler.
