SBA Check - Metod- och programbeskrivning
Programvaran SBA Check är ett verktyg för att i första hand möjliggöra en nulägesanalys av en organisations/företags informationssäkerhet. Här avses både teknisk och administrativ informationssäkerhet
SBA Check i korthet:
- Är en effektiv metod och verktyg för nulägesanalys av informationssäkerhet
- Modern teknisk plattform – fungerar på windows 95/98/2000 och NT
- Levereras med tre olika typer av frågedatabaser
- Kan användas för självbesiktning mot FA22 och SS627799
- Snabbt och enkelt att använda
- Checklistor går att verksamhetsanpassa
- Väl utvecklad rapportdel med möjlighet till egna selekteringar och sorteringar
Följande delområden ingår i SBA Check nulägesanalys
- Styrning av informationssäkerhet
- Rutiner beträffande personal
- Rutiner för åtkomstkontroll
- Drift
- Kommunikation
- Systemutveckling och -förvaltning
- Fysiskt skydd
- Avbrottsplanering
- Rättsliga krav
- Revision & kontroll
Komplett nulägesanalys på en till två dagar
Programvaran SBA Check tillhandahåller tre olika frågedatabaser/checklistor med frågor med ett gemensamt grafiskt gränssnitt för bedömning. SBA Check är både är snabbt och enkelt att använda. En komplett nulägesanalys av informationssäkerheten skall ta maximalt 1-2 dagar att utföra beroende på analysens omfattning. Verktyget ger som resultat ett kvalificerat underlag som beskriver nuläget med avseende på teknisk och administrativ säkerhet i en analyserad verksamhet. Kort sagt – SBA Check är ett utmärkt sätt att ta temperaturen på hur det är ställt med informationssäkerheten i ett företag eller organisation.
SBA Check levereras med tre olika typer av granskningsdatabaser
Check nulägesanalys - Genomtänkt metod för praktiskt handhavande
Att genomföra en granskning mha databasen
”Check Nulägesanalys” innebär att du även får en genomtänkt metod för den praktiska granskningen. Frågorna är grupperade i delområden som skall motsvara den mest praktiska och vanliga förekommande tågordningen vid genomförandet av en nulägesanalys. Metodens syfte är att varje delområde av frågor skall kunna ställas och besvaras vid ett intervjutillfälle med en grupp av deltagare.
Det är dock troligt att det ibland krävs flera olika grupper för att genomföra granskningen i sin helhet, dvs för att täcka in alla delområden.
Använd Check nulägesanalys när målet är att snabbt och enkelt få en god bild av organisationens nulägesstatus med avseende på informationssäkerhet!
Självbesiktning enligt FA22
Programmet levereras med en frågedatabas för självbesiktningmot FA22, ÖCB’s (Överstyrelsen för Civil Beredskap) allmänna råd och föreskrifter för samhällsviktiga datasystem. FA22 är skapad med anledning av §22 a i beredskapsförordningen som gäller för de statliga myndigheter på vilka förordningen är tillämpbar. För kommuner och landsting samt kris- och krigsviktiga företag (K-företag) utgör föreskrifterna rekommendationer.
Använd detta alternativ då självbesiktningenligt FA22 är målet!
Självbesiktning enligt SS627799
Den antagna svenska standarden SS627799, som är en översättning av den brittiska standarden BS7799, har rönt stor uppmärksamhet inom svenskt näringsliv. Nu finns det en svensk standard som beskriver vilka kriterier som skall vara uppfyllda för att en organisation skall anses ha god informationssäkerhet. SBA Check innehåller en frågedatabas som kan användas som självbesiktning mot SS627799.
Använd detta alternativ då självbesiktning enligt SS627799 är målet!
Enkelt att verksamhetsanpassa
Det är högst sannolikt att säkerhetsfunktionen inom större organisationer, informationssäkerhetskonsulter och IT-revisorer har behov av att anpassa programmet till struktur, innehåll och omfattning. SBA Check levereras därför med full funktionalitet för att anpassa granskningar och göra egna granskningsmallar. Detta innebär att frågor kan tas bort, omformuleras eller läggas till. Ordningen på områden, avsnitt och frågor kan förändras så att varje användare kan ha checklistor som täcker sina behov. I sin mest extrema form innebär detta att verktyget kan användas för att skapa checklistor för valfritt ändamål – så länge som gränssnittet för bedömning är tillämpbart.
Vägen att genomföra en granskning är enkel och kan beskrivas i tre grova steg:
Förberedelser => Granskning => Uttag av rapporter
Förberedelser
Förberedelser inför en granskning innebär i SBA Check att beskrivning av själva granskningen och granskningstillfället anges. Vem som är analysledare och deltagare anges samtidigt som syftet med granskningen beskrives. För bästa resultat är det givetvis viktigt att det är tydligt definierat för alla deltagande parter vad granskningen omfattar och syftar till innan granskningen påbörjas.
Granskning
Att genomföra själva granskningen innebär att varje kontroll och fråga bedöms enligt fyra svarsalternativ
- Ja, kontrollen existerar och fungerar tillfredsställande
- Ja, fullt kompenserande kontroller existerar och fungerar tillfredställande
- Nej, kontrollen behövs ej av särskilda skäl
- Nej, kontrollen finns ej eller fungerar ej tillfredsställande
För varje fråga finns en förklarande text ”best practice” och utrymme för att beskriva nuläget och förbättringsmöjligheter.
Hela bedömningen utföres i en dialog på skärmen så att total överblick för varje fråga erhålls.
Rapporter
När användaren är nöjd med den genomförda granskningen tas de rapporter ut som är av intresse. Rapporterna visar både i text och grafik utslaget av den genomförda granskningen och kan exporteras till olika filformat – exempelvis i html- och word-format för vidare bearbetning och presentation.
Teknisk plattform
SBA Check är utvecklad i MS Visual Basic och MS Access och fungerar på MS Windows 95/98/2000 och Windows NT.
ITIL®
webb.gif)
ITIL® is a Registered Trade Mark of the Office of Government Commerce in the United Kingdom and other countries.
The Swirl logo™ is a Trade Mark of the Office of Government Commerce.