Mappning 27002 till MSBFS 2020:7

MSB har släppt en vägledning till nya föreskriften MSBFS 2020:7 som förhandsutgåva. I denna finns en mappning på s. 84 till potentiella säkerhetsåtgärder ur ISO 27002.

Jag var intresserad av en omvänd mappning och även nyfiken på vad som finns föreslaget i ISO 27002 som inte finns med som åtgärd i MSBFS 2020:7. (Jag har själv kopplat MSBFS 2020:7 4 kap. 8 § till 13.1.1, för detta saknades men känns rimligt.)

Detta är skapat med ett snabbt hack som består till hälften av reguljära uttryck och resten Perl-kod, fel finns antagligen.

Ref 27002 MSBFS 2020:7
5.1.1 Policies for information security
5.1.2 Review of the policies for information security
6.1.1 Information security roles and responsibilities 2 kap 1 § (Ansvar)
2 kap 3 § (Omvärldsbevakning och riskbedömning)
6.1.2 Segregation of duties
6.1.3 Contact with authorities
6.1.4 Contact with special interest groups 2 kap 2 § (Omvärldsbevakning och riskbedömning)
6.1.5 Information security in project management This is a new Annex A control
6.2.1 Mobile device policy 4 kap 21 § (Skydd av utrustning)
6.2.2 Teleworking
7.1.1 Screening
7.1.2 Terms and conditions of employment
7.2.1 Management responsibilities
7.2.2 Information security awareness, education and training
7.2.3 Disciplinary process
7.3.1 Termination or change of employment responsibilities
8.1.1 Inventory of assets 2 kap 4 § (Dokumentation)
8.1.2 Ownership of assets 2 kap 1 § (Ansvar)
8.1.3 Acceptable use of assets
8.1.4 Return of assets
8.2.1 Classification of information 2 kap 4 § (Dokumentation)
8.2.2 Labelling of information
8.2.3 Handling of assets
8.3.1 Management of removable media
8.3.2 Disposal of media
8.3.3 Physical media transfer
9.1.1 Access control policy 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.1.2 Access to networks and network services
9.2.1 User registration and de-registration 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.2.2 User access provisioning 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.2.3 Privilege management 4 kap 4 § (Behörigheter, digitala identiteter och autentisering)
9.2.4 Management of secret authentication information of users 4 kap 6 § (Behörigheter, digitala identiteter och autentisering)
9.2.5 Review of user access rights 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.2.6 Removal or adjustment of access rights 4 kap 3 § (Behörigheter, digitala identiteter och autentisering)
9.3.1 Use of secret authentication information 4 kap 6 § (Behörigheter, digitala identiteter och autentisering)
9.4.1 Information access restriction
9.4.2 Secure log-on procedures 4 kap 5 § (Behörigheter, digitala identiteter och autentisering)
9.4.3 Password management system 4 kap 6 § (Behörigheter, digitala identiteter och autentisering)
9.4.4 Use of privileged utility programs 4 kap 4 § (Behörigheter, digitala identiteter och autentisering)
9.4.5 Access control to program source code
10.1.1 Policy on the use of cryptographic controls 4 kap 7 § (Kryptering)
4 kap 9 § (Kryptering)
10.1.2 Key management 4 kap 9 § (Kryptering)
11.1.1 Physical security perimeter 4 kap 21 § (Skydd av utrustning)
11.1.2 Physical entry controls 4 kap 21 § (Skydd av utrustning)
11.1.3 Securing office, rooms and facilities 4 kap 21 § (Skydd av utrustning)
11.1.4 Protecting against external end environmental threats 4 kap 21 § (Skydd av utrustning)
11.1.5 Working in secure areas 4 kap 21 § (Skydd av utrustning)
11.1.6 Delivery and loading areas
11.2.1 Equipment siting and protection 4 kap 21 § (Skydd av utrustning)
11.2.2 Supporting utilities
11.2.3 Cabling security
11.2.4 Equipment maintenance
11.2.5 Removal of assets
11.2.6 Security of equipment and assets off-premises 4 kap 21 § (Skydd av utrustning)
11.2.7 Security disposal or re-use of equipment 4 kap 21 § (Skydd av utrustning)
11.2.8 Unattended user equipment
11.2.9 Clear desk and clear screen policy
12.1.1 Documented operating procedures 3 kap 2 § (Kravställning och kontroll)
4 kap 10 § (Säkerhetskonfigurering)
12.1.2 Change management 4 kap 12 § (Ändringshantering, uppgradering och uppdatering)
12.1.3 Capacity management
12.1.4 Separation of development, test and operational environments 3 kap 3 § (Utvecklings-, test- och utbildningsmiljöer)
3 kap 4 § (Utvecklings-, test- och utbildningsmiljöer)
12.2.1 Controls against malware 4 kap 20 § (Skydd mot skadlig kod)
12.3.1 Information backup 4 kap 14 § (Säkerhetskopiering)
4 kap 15 § (Säkerhetskopiering)
12.4.1 Event logging 4 kap 16 § (Säkerhetsloggning och övervakning)
12.4.2 Protection of log information 4 kap 17 § (Säkerhetsloggning och övervakning)
12.4.3 Administrator and operator logs 4 kap 16 § (Säkerhetsloggning och övervakning)
12.4.4 Clock synchronisation 4 kap 13 § (Korrekt och spårbar tid)
12.5.1 Installation of software on operational systems 4 kap 10 § (Säkerhetskonfigurering)
12.6.1 Management of technical vulnerabilities 2 kap 2 § (Omvärldsbevakning och riskbedömning)
3 kap 2 § (Kravställning och kontroll)
4 kap 10 § (Säkerhetskonfigurering)
4 kap 11 § (Säkerhetstester och granskning)
4 kap 12 § (Ändringshantering, uppgradering och uppdatering)
12.6.2 Restrictions on software installation This is a new Annex A control 4 kap 10 § (Säkerhetskonfigurering)
12.7.1 Information systems audit controls
13.1.1 Network controls 4 kap 2 § (Uppdelning i nätverkssegment och filtrering av nätverkstrafik)
4 kap 8 § (Kryptering) <= Egen mappning! /Walter
13.1.2 Security of network services 3 kap 2 § (Kravställning och kontroll)
13.1.3 Segregation in networks 3 kap 4 § (Utvecklings-, test- och utbildningsmiljöer)
4 kap 1 § (Uppdelning i nätverkssegment och filtrering av nätverkstrafik)
13.2.1 Information transfer policies and procedures
13.2.2 Agreements on information transfer
13.2.3 Electronic messaging
13.2.4 Confidentiality or non-disclosure agreements
14.1.1 Security requirements analysis and specification 3 kap 1 § (Kravställning och kontroll)
14.1.2 Securing applications services on public networks
14.1.3 Protecting application services transactions
14.2.1 Secure development policy This is a new Annex A control
14.2.2 System change control procedures
14.2.3 Technical review of applications after operating platform changes 3 kap 2 § (Kravställning och kontroll)
14.2.4 Restrictions on changes to software packages
14.2.5 Secure system engineering principles This is a new Annex A control
14.2.6 Secure development environment This is a new Annex A control 3 kap 3 § (Utvecklings-, test- och utbildningsmiljöer)
14.2.7 Outsourced development 3 kap 3 § (Utvecklings-, test- och utbildningsmiljöer)
14.2.8 System security testing This is a new Annex A control 3 kap 2 § (Kravställning och kontroll)
4 kap 11 § (Säkerhetstester och granskning)
14.2.9 System acceptance testing
14.3.1 Protection of test data
15.1.1 Information security policy for supplier relationships This is a new Annex A control 3 kap 2 § (Kravställning och kontroll)
15.1.2 Addressing security within supplier agreements 3 kap 2 § (Kravställning och kontroll)
15.1.3 Information and communication technology supply chain This is a new Annex A control 3 kap 2 § (Kravställning och kontroll)
15.2.1 Monitoring and review of supplier services
15.2.2 Managing changes to supplier services
16.1.1 Responsibilities and procedures 4 kap 17 § (Säkerhetsloggning och övervakning)
4 kap 18 § (Säkerhetsloggning och övervakning)
4 kap 19 § (Säkerhetsloggning och övervakning)
16.1.2 Reporting information security events
16.1.3 Reporting information security weaknesses 4 kap 11 § (Säkerhetstester och granskning)
16.1.4 Assessment and decision on information security events This is a new Annex A control
16.1.5 Response to information security incidents This is a new Annex A control 4 kap 19 § (Säkerhetsloggning och övervakning)
16.1.6 Learning from information security incidents
16.1.7 Collection of evidence
17.1.1 Planning information security continuity
17.1.2 Implementing information security continuity
17.1.3 Verify, review and evaluate information security continuity
17.2.1 Availability of information processing facilities This is a new Annex A control 4 kap 22 § (Redundans och återställning)
18.1.1 Identification of applicable legislation and contractual requirements
18.1.2 Intellectual property rights (IPR)
18.1.3 Protection of records
18.1.4 Privacy and protection of personally identifiable information
18.1.5 Regulation of cryptographic controls
18.2.1 Independent review of information security
18.2.2 Compliance with security policies and standards
18.2.3 Technical compliance review 2 kap 1 § (Ansvar)
3 kap 2 § (Kravställning och kontroll)

Lämna en kommentar

Din e-postadress kommer inte publiceras.