...
Innehållsförteckning | ||
---|---|---|
|
...
Inledning
Metamodell Säkerhet är den del av arkitekturramverket som definierar struktur och omfattning när det gäller aspekter av säkerhet i såväl målarkitekturer, referensarkitekturer som lösningsarkitekturer. Metamodell Säkerhet definierar också de begrepp som kan användas inom säkerhetsområdet och därigenom tillhandahålls ett gemensamt språk för berörda intressenter. Metamodellen beskriver även hur arkitekturelement förhåller sig till varandra inom och utom säkerhetsdomänen, och sammantaget hjälper detta arkitekter från olika organisationer att samverka och återanvända arkitekturer, vilket bidrar till en större effektivitet och ökad kvalitet i såväl lokala som gemensamma initiativ.
I dess nuvarande form fokuserar metamodellen främst på beskrivning av arkitekturer för informationssäkerhet, men den går även att använda för arbete med säkerhetsskydd och IT-säkerhet.
Modelldiagram
...
Elementdefinitioner
Element | Definition | Exempel | Vägledning | Källor | |||||||||||
---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Definitionen motsvarar termen: skyddsåtgärd | Åtgärd som förändrar en risk. | Organisatoriska åtgärder:
Tekniska åtgärder:
Fysiska åtgärder:
| Synonymt begrepp är Skyddsåtgärd. Säkerhetsåtgärder indelas i organisatoriska (administrativa) -, tekniska och fysiska säkerhetsåtgärder. Säkerhetsåtgärder bör vara både proaktiva och reaktiva i syfte att skydda, detektera, reagera vid hot mot informationstillgångar, se ex. NIST Cybersecurity Framework Organisatoriska (administrativa) säkerhetsåtgärder realiseras genom en eller flera Processer (inklusive rutiner) eller Verksamhetsfunktioner. Tekniska säkerhetsåtgärder (inklusive IT-Säkerhet) realiseras med Applikationsfunktioner eller Teknikfunktioner. Fysiska säkerhetsåtgärder realiseras genom Utrustning. Se även Vägledning för Fysisk informationssäkerhet från MSB.(Kommentar: Utrustning bör kunna kopplas till Plats för att beskriva var Utrustningen står. Se förslag i Metamodell Teknik.) Grupper av säkerhetsåtgärder är ofta kopplade till en viss informationsklass. Beroende på informationsklass blir ett förutbestämt antal säkerhetsåtgärder applicerbara. Dessa kopplingar är baserade på tidigare bedömningar av vilka risker som en organisationen har. Detsamma gäller befintliga Krav och Begränsningar som är aktuella inom organisationen. De är uppkomna för att ange säkerhetsåtgärder i syfte att hantera redan identifierade risker. |
| |||||||||||
Definitionen motsvarar termen: Informationssäkerhetsklass | Kategorisering som representerar informationens känslighet. |
| Lämplig nivåindelning och aspekter vid klassificering finns i SKRs verktyg och metodstöd för informationssäkert KLASSA. Där anges konsekvensnivåerna: i aspekterna: Klassning har en implicit koppling till juridik/ lagar. Lagar uttrycks med elementtypen Begränsning och därmed kan man också göra denna koppling mer explicit om behov finns genom att relatera Begränsningar till Informationsklasser. Lagar är oftast inte skrivna så att de direkt kan kopplas till informationsklasser, men för Säkerhetsskyddslagen 2018:585 (= Nivå 4) så finns följande Säkerhetsskyddsklasser definierade:
|
| |||||||||||
| Osäkerhetens effekt på mål. |
| SIS-TR 50:2015 har följande vägledning angående risker: Anm. 1: En effekt är en avvikelse från det förväntade – positiv och/eller negativ. Anm. 2: Osäkerhet är det tillstånd, också partiellt, av bristande information som har att göra med förståelse för eller kunskap om en händelse, dess konsekvenser eller sannolikhet. Anm. 3: Risk karaktäriseras ofta utifrån potentiella händelser och konsekvenser eller en kombination av dessa. Anm. 4: Risk uttrycks ofta som en kombination av en händelses konsekvenser (inklusive ändrade omständigheter) och tillhörande sannolikhet för förekomst. Risk är därmed ett värderat hot där sannolikhet och konsekvens vägs in. Anm. 5: I ledningssystem för informationssäkerhet uttrycks informationssäkerhetsrisker som osäkerhetens effekt på informationssäkerhetsmål. Anm. 6: Informationssäkerhetsrisk innebär möjligheten att ett givet hot utnyttjar sårbarheten hos en informationstillgång eller en grupp av informationstillgångar och därigenom orsakar organisationen skada. Risker bör relateras till de mål som de potentiellt kan ha effekt på, exempelvis att mål riskerar att inte uppnås. |
| |||||||||||
| Möjlig orsak till en oönskad händelse med negativa konsekvenser för verksamheten. |
| Kan indelas i avsiktliga och oavsiktliga hot. Med avsiktliga hot menas hot med illasinnad avsikt. Med oavsiktliga hot menas hot som existerar trots att illasinnad avsikt saknas. Kan även indelas i interna och externa hot. Med interna hot menas hot mot säkerheten som orsakas internt. Med externa hot menas hot som har sitt ursprung utanför organisationen. Hot kan kopplas till händelse för att beskriva potentiella informationssäkerhetshändelser och informationssäkerhetsincidenter. Informationssäkerhetshändelser är identifierade förekomster i ett system, tjänst eller nätverk som indikerar en möjlig avvikelse från policy för informationssäkerhet , eller ej fungerande säkerhetsåtgärder, eller en situation som tidigare varit okänd och som kan vara relevant för informationssäkerheten. informationssäkerhetsincidenter är enskilda eller flera oönskade eller oväntade informationssäkerhetshändelser som har negativa konsekvenser för verksamheten och dess informationssäkerhet. |
| |||||||||||
| Brist i skyddet av en tillgång eller av en säkerhetsåtgärd som kan utnyttjas av ett eller flera hot. |
| All information som finns inom, och behandlas av, en organisation är föremål för hot i form av attacker, fel, naturrelaterade hot (t.ex. översvämning eller brand), etc., och utsätts för sårbarheter förknippade med dess användning. Sårbarheter är brister som möjliggör att hot kan realiseras. Sårbarheter gör att sannolikhet och/eller konsekvens för risker ökar. Sårbarheter är något som gör ett it‑system känsligt för angrepp. – Sårbarheter kan vara tekniska brister eller förbiseenden, mänskliga svagheter eller en kombination. Oftast menar man brister i datornätverkens system för identifiering, inloggning och rättigheter. Kontrollen av in- och utgående datatrafik kan ha sårbarheter, liksom processen för granskning av den utrustning som ansluts till nätverket, och de program som körs. – I en bredare bemärkelse kan sårbarheter också vara mänskliga svagheter som slarv, tanklöshet och naivitet i kombination med teknik som inte har utformats för att kompensera för sådana svagheter. Aktuella sårbarheter kan följas på ex. CVS : Security vulnerabilities (cvedetails.com) |
| |||||||||||
| Information, och resurser som hanterar den, som är av värde för en organisation. | Exempel: • information (kunddatabas, metodik, dokument etc.) • program (applikation, operativsystem etc.) • tjänster (kommunikationstjänst, abonnemang etc.) • fysiska tillgångar (dator, datamedier, lokala nätverk etc.) • människor och deras kompetens, färdigheter och erfarenheter • immateriella tillgångar (rykte och image etc.) | Informationstillgångar kan vara av fysisk eller logisk karaktär, eller bådadera. Detta omfattar både själva informationen och resurser som hanterar denna, både tekniska system och människor. Information som är personligt knuten till en identifierbar individ kallas Personuppgifter (Personal data, also known as personal information or personally identifiable information (PII)is any information relating to an identifiable person) och har en särställning som informationstillgång då behandlingen av denna typ av information är reglerad i särskild lagstiftning (EUs Dataskyddsförordning samt nationella lagstiftningen Lag (2018:218) med kompletterande bestämmelser till EU:s dataskyddsförordning). |
| |||||||||||
Informationsbehandlingsresurs | System, tjänst eller infrastruktur för hantering av information. | Abstrakt element som grupperar alla de resurser som behandlar information. Informationsbehandlingsresurs är en specialisering av Informationstillgång. Används för att öka läsbarhet och förståelse i metamodellen. Används inte i tillämpningar av metamodellen. Använd istället konkreta specialiseringar av detta element i en tillämpning. Konkreta element är, exempelvis applikationer, applikationstjänster och noder. |
|
Relationer inom lagret
Källelement | Relation | Målelement | Källa |
---|---|---|---|
Hot | ökar | Risk | Inspirerat av ISO 27000:2018 |
Risk | påverkas av | Hot | Inspirerat av ISO 27000:2018 |
Hot | utnyttjar | Sårbarhet | ISO 27000:2018 |
Sårbarhet | utnyttjas av | Hot | ISO 27000:2018 |
Risk | påverkas av | Sårbarhet | Inspirerat av ISO 27000:2018 |
Sårbarhet | ökar | Risk | Inspirerat av ISO 27000:2018 |
Risk | påverkar | Informationstillgång | ISO 27000:2018 UAF:Affects: A dependency that asserts that a Risk is applicable to an Asset. |
Informationstillgång | utsätts för | Risk | ISO 27000:2018 UAF:Affects: A dependency that asserts that a Risk is applicable to an Asset. |
Risk | förändras av | Säkerhetsåtgärd | ISO 27000:2018 UAF Mitigates: A dependency relating a Security Control to a Risk. Mitigation is established to manage risk and could be represented as an overall strategy or through techniques (mitigation configurations) and procedures (SecurityProcesses). |
Säkerhetsåtgärd | förändrar | Risk | ISO 27000:2018 UAF: Mitigates: A dependency relating a Security Control to a Risk. Mitigation is established to manage risk and could be represented as an overall strategy or through techniques (mitigation configurations) and procedures (SecurityProcesses). |
Sårbarhet | förändras av | Säkerhetsåtgärd | ISO 27000:2018 |
Säkerhetsåtgärd | förändrar | Sårbarhet | ISO 27000:2018 |
Säkerhetsåtgärd | skyddar | Informationstillgång | UAF:Protects: A dependency that asserts that a SecurityControl is required to protect an Asset. |
Informationstillgång | skyddas av | Säkerhetsåtgärd | UAF:Protects: A dependency that asserts that a SecurityControl is required to protect an Asset. |
Sårbarhet | hör till | Informationstillgång | ISO 27000:2018 |
Informationstillgång | har | Sårbarhet | ISO 27000:2018 |
Säkerhetsåtgärd | styrs av | Informationsklass | Inspirerat av ISO 27001:2017 |
Informationsklass | styr | Säkerhetsåtgärd | Inspirerat av ISO 27001:2017 |
Säkerhetsåtgärd | möter | Hot | Inspirerat av ISO 27000:2018 |
Hot | adresseras av | Säkerhetsåtgärd | Inspirerat av ISO 27000:2018 |
Informationsbehandlingsresurs | är en | Informationstillgång | SIS-TR 50:2015 |
Relationer till andra lager
Fråga till AG: Behövs relation mellan Process och Sårbarhet för att kunna uttrycka att en process skapar sårbarheter eller räcker det med att kunna koppla sårbarheter till processens produkt (Verksamhetsobjekt) och Verksamhetstjänst?
Källelement | Relation | Målelement | Källa |
---|---|---|---|
Risk | ägs av | Aktör | ISO 27000:2018. UAF: OwnsRisk: An abstraction relating a Risk to an organizational resource that is responsible for executing the risk mitigation. Aktören agerar i rollen Riskägare. |
Aktör | äger | Risk | ISO 27000:2018. UAF: OwnsRisk: An abstraction relating a Risk to an organizational resource that is responsible for executing the risk mitigation. Aktören agerar i rollen Riskägare. |
Risk | relevant för | Mål | ISO27002:2017 |
Mål | har | Risk | ISO27002:2017 |
Hot | kan orsaka | Händelse | ISO 27000:2018 |
Händelse | kan orsakas av | Hot | ISO 27000:2018 |
Krav | kravställer | Säkerhetsåtgärd | SIS-TR 50:2015 |
Säkerhetsåtgärd | uppfyller | Krav | UAF: Satisfy |
Säkerhetsåtgärd | möjliggör | Förmåga | Arbetsgruppen |
Förmåga | möjliggörs av | Säkerhetsåtgärd | Arbetsgruppen |
Process Verksamhetsfunktion Teknikfunktion Applikationsfunktion Utrustning | är en / kan vara | Säkerhetsåtgärd | ISO 27000:2018 |
Informationsklass | klassificerar | Verksamhetsobjekt Informationsobjekt Dataentitet | Inspirerat av ISO27002:2017 |
Verksamhetsobjekt Informationsobjekt Dataentitet | tillhör | Informationsklass | Inspirerat av ISO27002:2017 |
Aktör Verksamhetstjänst Informationsobjekt Verksamhetsobjekt | är en | Informationstillgång | Inspirerat av SIS-TR 50:2015, ISO 27000:2018 och UAF |
Nod Applikationstjänst Applikation | är en | Informationsbehandlingsresurs | Inspirerat av SIS-TR 50:2015, ISO 27000:2018 och UAF |
Utvecklingsförslag
Här listas förslag på vidareutveckling:
...