Gå till innehåll

Mappning 27002 till MSBFS 2020:7

MSB har släppt en vägledning till nya föreskriften MSBFS 2020:7 som förhandsutgåva. I denna finns en mappning på s. 84 till potentiella säkerhetsåtgärder ur ISO 27002.

Jag var intresserad av en omvänd mappning och även nyfiken på vad som finns föreslaget i ISO 27002 som inte finns med som åtgärd i MSBFS 2020:7. (Jag har själv kopplat MSBFS 2020:7 4 kap. 8 § till 13.1.1, för detta saknades men känns rimligt.)

Detta är skapat med ett snabbt hack som består till hälften av reguljära uttryck och resten Perl-kod, fel finns antagligen.

Ref 27002 MSBFS 2020:7
5.1.1 Policies for information security -
5.1.2 Review of the policies for information security -
6.1.1 Information security roles and responsibilities 2 kap 1 § (Ansvar)
2 kap 3 § (Omvärldsbevakning och riskbedömning)
6.1.2 Segregation of duties -
6.1.3 Contact with authorities -
6.1.4 Contact with special interest groups 2 kap 2 § (Omvärldsbevakning och riskbedömning)
6.1.5 Information security in project management This is a new Annex A control -
6.2.1 Mobile device policy 4 kap 21 § (Skydd av utrustning)
6.2.2 Teleworking -
7.1.1 Screening -
7.1.2 Terms and conditions of employment -
7.2.1 Management responsibilities -
7.2.2 Information security awareness, education and training -
7.2.3 Disciplinary process -
7.3.1 Termination or change of employment responsibilities -
8.1.1 Inventory of assets 2 kap 4 § (Dokumentation)
8.1.2 Ownership of assets 2 kap 1 § (Ansvar)
8.1.3 Acceptable use of assets -
8.1.4 Return of assets -
8.2.1 Classification of information 2 kap 4 § (Dokumentation)
8.2.2 Labelling of information -
8.2.3 Handling of assets -
8.3.1 Management of removable media -
8.3.2 Disposal of media -
8.3.3 Physical media transfer -
9.1.1 Access control policy 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.1.2 Access to networks and network services -
9.2.1 User registration and de-registration 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.2.2 User access provisioning 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.2.3 Privilege management 4 kap 4 § (Behörigheter, digitala identiteter och autentisering)
9.2.4 Management of secret authentication information of users 4 kap 6 § (Behörigheter, digitala identiteter och autentisering)
9.2.5 Review of user access rights 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.2.6 Removal or adjustment of access rights 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.3.1 Use of secret authentication information 4 kap 6 § (Behörigheter, digitala identiteter och autentisering)
9.4.1 Information access restriction -
9.4.2 Secure log-on procedures 4 kap 5 § (Behörigheter, digitala identiteter och autentisering)
9.4.3 Password management system 4 kap 6 § (Behörigheter, digitala identiteter och autentisering)
9.4.4 Use of privileged utility programs 4 kap 4 § (Behörigheter, digitala identiteter och autentisering)
9.4.5 Access control to program source code -
10.1.1 Policy on the use of cryptographic controls 4 kap 7 § (Kryptering)
4 kap 9 § (Kryptering)
10.1.2 Key management 4 kap 9 § (Kryptering)
11.1.1 Physical security perimeter 4 kap 21 § (Skydd av utrustning)
11.1.2 Physical entry controls 4 kap 21 § (Skydd av utrustning)
11.1.3 Securing office, rooms and facilities 4 kap 21 § (Skydd av utrustning)
11.1.4 Protecting against external end environmental threats 4 kap 21 § (Skydd av utrustning)
11.1.5 Working in secure areas 4 kap 21 § (Skydd av utrustning)
11.1.6 Delivery and loading areas -
11.2.1 Equipment siting and protection 4 kap 21 § (Skydd av utrustning)
11.2.2 Supporting utilities -
11.2.3 Cabling security -
11.2.4 Equipment maintenance -
11.2.5 Removal of assets -
11.2.6 Security of equipment and assets off-premises 4 kap 21 § (Skydd av utrustning)
11.2.7 Security disposal or re-use of equipment 4 kap 21 § (Skydd av utrustning)
11.2.8 Unattended user equipment -
11.2.9 Clear desk and clear screen policy -
12.1.1 Documented operating procedures 3 kap 2 § (Kravställning och kontroll)
4 kap 10 § (Säkerhetskonfigurering)
12.1.2 Change management 4 kap 12 § (Ändringshantering, uppgradering och uppdatering)
12.1.3 Capacity management -
12.1.4 Separation of development, test and operational environments 3 kap 3 § (Utvecklings-, test- och utbildningsmiljöer)
3 kap 4 § (Utvecklings-, test- och utbildningsmiljöer)
12.2.1 Controls against malware 4 kap 20 § (Skydd mot skadlig kod)
12.3.1 Information backup 4 kap 14 § (Säkerhetskopiering)
4 kap 15 § (Säkerhetskopiering)
12.4.1 Event logging 4 kap 16 § (Säkerhetsloggning och övervakning)
12.4.2 Protection of log information 4 kap 17 § (Säkerhetsloggning och övervakning)
12.4.3 Administrator and operator logs 4 kap 16 § (Säkerhetsloggning och övervakning)
12.4.4 Clock synchronisation 4 kap 13 § (Korrekt och spårbar tid)
12.5.1 Installation of software on operational systems 4 kap 10 § (Säkerhetskonfigurering)
12.6.1 Management of technical vulnerabilities 2 kap 2 § (Omvärldsbevakning och riskbedömning)
3 kap 2 § (Kravställning och kontroll)
4 kap 10 § (Säkerhetskonfigurering)
4 kap 11 § (Säkerhetstester och granskning)
4 kap 12 § (Ändringshantering, uppgradering och uppdatering)
12.6.2 Restrictions on software installation This is a new Annex A control 4 kap 10 § (Säkerhetskonfigurering)
12.7.1 Information systems audit controls -
13.1.1 Network controls 4 kap 2 § (Uppdelning i nätverkssegment och filtrering av nätverkstrafik)
4 kap 8 § (Kryptering) <= Egen mappning! /Walter
13.1.2 Security of network services 3 kap 2 § (Kravställning och kontroll)
13.1.3 Segregation in networks 3 kap 4 § (Utvecklings-, test- och utbildningsmiljöer)
4 kap 1 § (Uppdelning i nätverkssegment och filtrering av nätverkstrafik)
13.2.1 Information transfer policies and procedures -
13.2.2 Agreements on information transfer -
13.2.3 Electronic messaging -
13.2.4 Confidentiality or non-disclosure agreements -
14.1.1 Security requirements analysis and specification 3 kap 1 § (Kravställning och kontroll)
14.1.2 Securing applications services on public networks -
14.1.3 Protecting application services transactions -
14.2.1 Secure development policy This is a new Annex A control -
14.2.2 System change control procedures -
14.2.3 Technical review of applications after operating platform changes 3 kap 2 § (Kravställning och kontroll)
14.2.4 Restrictions on changes to software packages -
14.2.5 Secure system engineering principles This is a new Annex A control -
14.2.6 Secure development environment This is a new Annex A control 3 kap 3 § (Utvecklings-, test- och utbildningsmiljöer)
14.2.7 Outsourced development 3 kap 3 § (Utvecklings-, test- och utbildningsmiljöer)
14.2.8 System security testing This is a new Annex A control 3 kap 2 § (Kravställning och kontroll)
4 kap 11 § (Säkerhetstester och granskning)
14.2.9 System acceptance testing -
14.3.1 Protection of test data -
15.1.1 Information security policy for supplier relationships This is a new Annex A control 3 kap 2 § (Kravställning och kontroll)
15.1.2 Addressing security within supplier agreements 3 kap 2 § (Kravställning och kontroll)
15.1.3 Information and communication technology supply chain This is a new Annex A control 3 kap 2 § (Kravställning och kontroll)
15.2.1 Monitoring and review of supplier services -
15.2.2 Managing changes to supplier services -
16.1.1 Responsibilities and procedures 4 kap 17 § (Säkerhetsloggning och övervakning)
4 kap 18 § (Säkerhetsloggning och övervakning)
4 kap 19 § (Säkerhetsloggning och övervakning)
16.1.2 Reporting information security events -
16.1.3 Reporting information security weaknesses 4 kap 11 § (Säkerhetstester och granskning)
16.1.4 Assessment and decision on information security events This is a new Annex A control -
16.1.5 Response to information security incidents This is a new Annex A control 4 kap 19 § (Säkerhetsloggning och övervakning)
16.1.6 Learning from information security incidents -
16.1.7 Collection of evidence -
17.1.1 Planning information security continuity -
17.1.2 Implementing information security continuity -
17.1.3 Verify, review and evaluate information security continuity -
17.2.1 Availability of information processing facilities This is a new Annex A control 4 kap 22 § (Redundans och återställning)
18.1.1 Identification of applicable legislation and contractual requirements -
18.1.2 Intellectual property rights (IPR) -
18.1.3 Protection of records -
18.1.4 Privacy and protection of personally identifiable information -
18.1.5 Regulation of cryptographic controls -
18.2.1 Independent review of information security -
18.2.2 Compliance with security policies and standards -
18.2.3 Technical compliance review 2 kap 1 § (Ansvar)
3 kap 2 § (Kravställning och kontroll)

Lämna ett svar

Din e-postadress kommer inte publiceras. Obligatoriska fält är märkta *