MSB har släppt en vägledning till nya föreskriften MSBFS 2020:7 som förhandsutgåva. I denna finns en mappning på s. 84 till potentiella säkerhetsåtgärder ur ISO 27002.
Jag var intresserad av en omvänd mappning och även nyfiken på vad som finns föreslaget i ISO 27002 som inte finns med som åtgärd i MSBFS 2020:7. (Jag har själv kopplat MSBFS 2020:7 4 kap. 8 § till 13.1.1, för detta saknades men känns rimligt.)
Detta är skapat med ett snabbt hack som består till hälften av reguljära uttryck och resten Perl-kod, fel finns antagligen.
Ref | 27002 | MSBFS 2020:7 |
---|---|---|
5.1.1 | Policies for information security | – |
5.1.2 | Review of the policies for information security | – |
6.1.1 | Information security roles and responsibilities | 2 kap 1 § (Ansvar) 2 kap 3 § (Omvärldsbevakning och riskbedömning) |
6.1.2 | Segregation of duties | – |
6.1.3 | Contact with authorities | – |
6.1.4 | Contact with special interest groups | 2 kap 2 § (Omvärldsbevakning och riskbedömning) |
6.1.5 | Information security in project management This is a new Annex A control | – |
6.2.1 | Mobile device policy | 4 kap 21 § (Skydd av utrustning) |
6.2.2 | Teleworking | – |
7.1.1 | Screening | – |
7.1.2 | Terms and conditions of employment | – |
7.2.1 | Management responsibilities | – |
7.2.2 | Information security awareness, education and training | – |
7.2.3 | Disciplinary process | – |
7.3.1 | Termination or change of employment responsibilities | – |
8.1.1 | Inventory of assets | 2 kap 4 § (Dokumentation) |
8.1.2 | Ownership of assets | 2 kap 1 § (Ansvar) |
8.1.3 | Acceptable use of assets | – |
8.1.4 | Return of assets | – |
8.2.1 | Classification of information | 2 kap 4 § (Dokumentation) |
8.2.2 | Labelling of information | – |
8.2.3 | Handling of assets | – |
8.3.1 | Management of removable media | – |
8.3.2 | Disposal of media | – |
8.3.3 | Physical media transfer | – |
9.1.1 | Access control policy | 4 kap 3 § (Behörigheter, digitala identiteter och autentisering) |
9.1.2 | Access to networks and network services | – |
9.2.1 | User registration and de-registration | 4 kap 3 § (Behörigheter, digitala identiteter och autentisering) |
9.2.2 | User access provisioning | 4 kap 3 § (Behörigheter, digitala identiteter och autentisering) |
9.2.3 | Privilege management | 4 kap 4 § (Behörigheter, digitala identiteter och autentisering) |
9.2.4 | Management of secret authentication information of users | 4 kap 6 § (Behörigheter, digitala identiteter och autentisering) |
9.2.5 | Review of user access rights | 4 kap 3 § (Behörigheter, digitala identiteter och autentisering) |
9.2.6 | Removal or adjustment of access rights | 4 kap 3 § (Behörigheter, digitala identiteter och autentisering) |
9.3.1 | Use of secret authentication information | 4 kap 6 § (Behörigheter, digitala identiteter och autentisering) |
9.4.1 | Information access restriction | – |
9.4.2 | Secure log-on procedures | 4 kap 5 § (Behörigheter, digitala identiteter och autentisering) |
9.4.3 | Password management system | 4 kap 6 § (Behörigheter, digitala identiteter och autentisering) |
9.4.4 | Use of privileged utility programs | 4 kap 4 § (Behörigheter, digitala identiteter och autentisering) |
9.4.5 | Access control to program source code | – |
10.1.1 | Policy on the use of cryptographic controls | 4 kap 7 § (Kryptering) 4 kap 9 § (Kryptering) |
10.1.2 | Key management | 4 kap 9 § (Kryptering) |
11.1.1 | Physical security perimeter | 4 kap 21 § (Skydd av utrustning) |
11.1.2 | Physical entry controls | 4 kap 21 § (Skydd av utrustning) |
11.1.3 | Securing office, rooms and facilities | 4 kap 21 § (Skydd av utrustning) |
11.1.4 | Protecting against external end environmental threats | 4 kap 21 § (Skydd av utrustning) |
11.1.5 | Working in secure areas | 4 kap 21 § (Skydd av utrustning) |
11.1.6 | Delivery and loading areas | – |
11.2.1 | Equipment siting and protection | 4 kap 21 § (Skydd av utrustning) |
11.2.2 | Supporting utilities | – |
11.2.3 | Cabling security | – |
11.2.4 | Equipment maintenance | – |
11.2.5 | Removal of assets | – |
11.2.6 | Security of equipment and assets off-premises | 4 kap 21 § (Skydd av utrustning) |
11.2.7 | Security disposal or re-use of equipment | 4 kap 21 § (Skydd av utrustning) |
11.2.8 | Unattended user equipment | – |
11.2.9 | Clear desk and clear screen policy | – |
12.1.1 | Documented operating procedures | 3 kap 2 § (Kravställning och kontroll) 4 kap 10 § (Säkerhetskonfigurering) |
12.1.2 | Change management | 4 kap 12 § (Ändringshantering, uppgradering och uppdatering) |
12.1.3 | Capacity management | – |
12.1.4 | Separation of development, test and operational environments | 3 kap 3 § (Utvecklings-, test- och utbildningsmiljöer) 3 kap 4 § (Utvecklings-, test- och utbildningsmiljöer) |
12.2.1 | Controls against malware | 4 kap 20 § (Skydd mot skadlig kod) |
12.3.1 | Information backup | 4 kap 14 § (Säkerhetskopiering) 4 kap 15 § (Säkerhetskopiering) |
12.4.1 | Event logging | 4 kap 16 § (Säkerhetsloggning och övervakning) |
12.4.2 | Protection of log information | 4 kap 17 § (Säkerhetsloggning och övervakning) |
12.4.3 | Administrator and operator logs | 4 kap 16 § (Säkerhetsloggning och övervakning) |
12.4.4 | Clock synchronisation | 4 kap 13 § (Korrekt och spårbar tid) |
12.5.1 | Installation of software on operational systems | 4 kap 10 § (Säkerhetskonfigurering) |
12.6.1 | Management of technical vulnerabilities | 2 kap 2 § (Omvärldsbevakning och riskbedömning) 3 kap 2 § (Kravställning och kontroll) 4 kap 10 § (Säkerhetskonfigurering) 4 kap 11 § (Säkerhetstester och granskning) 4 kap 12 § (Ändringshantering, uppgradering och uppdatering) |
12.6.2 | Restrictions on software installation This is a new Annex A control | 4 kap 10 § (Säkerhetskonfigurering) |
12.7.1 | Information systems audit controls | – |
13.1.1 | Network controls | 4 kap 2 § (Uppdelning i nätverkssegment och filtrering av nätverkstrafik) 4 kap 8 § (Kryptering) <= Egen mappning! /Walter |
13.1.2 | Security of network services | 3 kap 2 § (Kravställning och kontroll) |
13.1.3 | Segregation in networks | 3 kap 4 § (Utvecklings-, test- och utbildningsmiljöer) 4 kap 1 § (Uppdelning i nätverkssegment och filtrering av nätverkstrafik) |
13.2.1 | Information transfer policies and procedures | – |
13.2.2 | Agreements on information transfer | – |
13.2.3 | Electronic messaging | – |
13.2.4 | Confidentiality or non-disclosure agreements | – |
14.1.1 | Security requirements analysis and specification | 3 kap 1 § (Kravställning och kontroll) |
14.1.2 | Securing applications services on public networks | – |
14.1.3 | Protecting application services transactions | – |
14.2.1 | Secure development policy This is a new Annex A control | – |
14.2.2 | System change control procedures | – |
14.2.3 | Technical review of applications after operating platform changes | 3 kap 2 § (Kravställning och kontroll) |
14.2.4 | Restrictions on changes to software packages | – |
14.2.5 | Secure system engineering principles This is a new Annex A control | – |
14.2.6 | Secure development environment This is a new Annex A control | 3 kap 3 § (Utvecklings-, test- och utbildningsmiljöer) |
14.2.7 | Outsourced development | 3 kap 3 § (Utvecklings-, test- och utbildningsmiljöer) |
14.2.8 | System security testing This is a new Annex A control | 3 kap 2 § (Kravställning och kontroll) 4 kap 11 § (Säkerhetstester och granskning) |
14.2.9 | System acceptance testing | – |
14.3.1 | Protection of test data | – |
15.1.1 | Information security policy for supplier relationships This is a new Annex A control | 3 kap 2 § (Kravställning och kontroll) |
15.1.2 | Addressing security within supplier agreements | 3 kap 2 § (Kravställning och kontroll) |
15.1.3 | Information and communication technology supply chain This is a new Annex A control | 3 kap 2 § (Kravställning och kontroll) |
15.2.1 | Monitoring and review of supplier services | – |
15.2.2 | Managing changes to supplier services | – |
16.1.1 | Responsibilities and procedures | 4 kap 17 § (Säkerhetsloggning och övervakning) 4 kap 18 § (Säkerhetsloggning och övervakning) 4 kap 19 § (Säkerhetsloggning och övervakning) |
16.1.2 | Reporting information security events | – |
16.1.3 | Reporting information security weaknesses | 4 kap 11 § (Säkerhetstester och granskning) |
16.1.4 | Assessment and decision on information security events This is a new Annex A control | – |
16.1.5 | Response to information security incidents This is a new Annex A control | 4 kap 19 § (Säkerhetsloggning och övervakning) |
16.1.6 | Learning from information security incidents | – |
16.1.7 | Collection of evidence | – |
17.1.1 | Planning information security continuity | – |
17.1.2 | Implementing information security continuity | – |
17.1.3 | Verify, review and evaluate information security continuity | – |
17.2.1 | Availability of information processing facilities This is a new Annex A control | 4 kap 22 § (Redundans och återställning) |
18.1.1 | Identification of applicable legislation and contractual requirements | – |
18.1.2 | Intellectual property rights (IPR) | – |
18.1.3 | Protection of records | – |
18.1.4 | Privacy and protection of personally identifiable information | – |
18.1.5 | Regulation of cryptographic controls | – |
18.2.1 | Independent review of information security | – |
18.2.2 | Compliance with security policies and standards | – |
18.2.3 | Technical compliance review | 2 kap 1 § (Ansvar) 3 kap 2 § (Kravställning och kontroll) |