MSBFS 2020:7
Föreskrift avseende
säkerhetsåtgärder
Genomgång 2022-11-03
Per Åke Andersson
per-ake.andersson@advania.com

MSBFS 2020:7 – Föreskrift avseende
säkerhetsåtgärder
• Myndigheten för samhällsskydd och beredskaps
föreskrifter och allmänna råd (MSBFS 2020:7) om
säkerhetsåtgärder i informationssystem för statliga
myndigheter
• Föreskrifternas krav på säkerhetsåtgärder motsvarar vad
MSB bedömer att en statlig myndighet minst behöver
göra för att nå en godtagbar nivå av säkerhet i sin it-
miljö.
• Ytterligare säkerhetsåtgärder som behöver vidtas
identifierar organisationen genom sitt systematiska och
riskbaserade informationssäkerhetsarbete. Annan
reglering kan också ställa högre krav på säkerhet,
exempelvis dataskyddsförordningen eller
säkerhetsskyddslagen

MSBFS 2020:7 – Föreskrift avseende
säkerhetsåtgärder
• Ytterligare säkerhetsåtgärder som behöver vidtas identifierar organisationen
genom sitt systematiska och riskbaserade informationssäkerhetsarbete. Annan
reglering kan också ställa högre krav på säkerhet, exempelvis
dataskyddsförordningen eller säkerhetsskyddslagen
Systematiskt och
riskbaserat
informations-
säkerhetsarbete
Säkerhetsåtgärder

MSBFS 2020:7 – Föreskrift avseende
säkerhetsåtgärder
Översiktligt innehåll
• Kapitel 2: Grundläggande förutsättningar
• Kapitel 3: Utveckling, anskaffning och utkontraktering
• Kapitel 4: Drift och förvaltning
• Kapitel 5: För myndigheter med särskilt ansvar för krisberedskapen

MSBFS 2020:7 – Grundläggande förutsättningar
Ansvar
• Ledningen har det övergripande ansvaret att styra och inrikta informationssäkerhetsarbetet
informationssäkerhetsarbetet samt säkerställa att det finns tillräckliga resurser och mandat.
och mandat. En vanlig ansvarsfördelning i övrigt är följande:
• CISO
• Informationsägare
• Systemägare
Till detta tillkommer policyer, riktlinjer, forum m m. Se även kapitel 5 i ISO27002:2022 samt
ISO27002:2022 samt avsnittet Utforma på informationssäkerhet.se

MSBFS 2020:7 – Grundläggande förutsättningar
Ansvar
• Organisationen ska se till att systemägaren ansvarar
ansvarar för att införa, förvalta, följa upp och utvärdera
utvärdera säkerhetsåtgärder
• Komplettera Informationsägarens och Systemägarens
Systemägarens årshjul:
• Informationsägaren ansvarar för att genomföra
informationsklassning och riskbedömning för den
information som hanteras i dennes verksamhet.
• Systemägaren ansvarar för att informationssystemet
informationssystemet har de tekniska
säkerhetsåtgärder som behövs för att skydda
informationen som hanteras där, och att det finns
arbetssätt för att utvärdera och uppdatera
säkerhetsåtgärder så att det ger ett tillräckligt skydd för
skydd för informationssystemet.

MSBFS 2020:7 – Grundläggande förutsättningar
Omvärldsbevakning
• Organisationen ska se till att bedriva omvärldsbevakning för att
1. identifiera potentiella hot mot sina informationssystem
2. identifiera potentiella sårbarheter i sina informationssystem
3. hitta stöd för hanteringen av hot mot och sårbarheter i sina informationssystem.

MSBFS 2020:7 – Grundläggande förutsättningar
Omvärldsbevakning
• När det gäller sårbarheter så är det lämpligt att
att systemägaren prenumererar på nyhetsbrev och
nyhetsbrev och varningar från bland annat:
• leverantörerna av organisationens
informationssystem och it-produkter
• CERT-SE – Sveriges nationella CSIRT (Computer
(Computer Security Incident ResponseTeam) – hos
hos MSB.
En SOC-tjänst, en funktion som övervakar och
reagerar på hot mot en organisations kritiska
tillgångar kan övervägas

MSBFS 2020:7 – Grundläggande förutsättningar
Riskbedömningar
• Organisationen ska
1. se till att det finns ett arbetssätt för att identifiera, analysera och värdera risker
2. genomföra riskbedömning av produktionsmiljön i sin helhet
3. genomföra riskbedömning av enskilda informationssystem var för sig eller samlat för
informationssystem i produktionsmiljön med liknande funktion, uppbyggnad och
användningsområde.

MSBFS 2020:7 – Grundläggande förutsättningar
Riskbedömningar
• Riskbedömningen går förenklat ut på att besvara de fyra frågorna
1. Vad kan hända?
2. Varför kan det hända?
3. Vad blir konsekvenserna?
4. Hur sannolikt är det att det inträffar?

MSBFS 2020:7 – Grundläggande förutsättningar
Riskbedömningar
• I organisationen ska det finnas ett beslutat
arbetssätt för att identifiera, analysera och
värdera risker (riskbedömning).

MSBFS 2020:7 – Grundläggande förutsättningar
Riskbedömningar
• I organisationen ska det finnas ett beslutat
arbetssätt för att identifiera, analysera och
värdera risker (riskbedömning).
• Komplettera Informationsägarens och
Systemägarens årshjul:
• Organisationen ska ge systemägaren i uppgift att
uppgift att säkerställa att riskbedömningen
genomförs för de informationssystem som
systemägaren ansvarar för.

MSBFS 2020:7 – Drift och förvaltning
Nätverkssegment och filtrering
• För att förhindra spridning och konsekvenser av inträffade incidenter behöver
organisationen dela upp sin it-miljö i olika nätverkssegment och filtrera trafiken så att
så att endast nödvändiga dataflöden förekommer.

Flera angreppssätt är möjliga
Krav på
segmentering ? Segmenterat nät
Ex. KSF3.1, BITS:
Grundläggande Säkerhetsförmågor
Utökade Säkerhetsförmågor

VÄGLEDNING - Säkerhetsåtgärder i informationssystem (MSB
- 2022)
Vägledningen är direkt mappad mot MSBFS
2020:7:
• Nätverkssegmenten behöver i sin tur skyddas
med olika säkerhetsåtgärder. Det kan
exempelvis handla om filtrering av
nätverkstrafik, behörigheter, kryptering,
säkerhetskonfiguration, säkerhetskopiering,
loggning, övervakning, skydd mot skadlig
kod och redundans.
• Hur säkerhetsåtgärderna utformas och vilken
nivå av skydd de behöver ge beror på
respektive nätverkssegments skyddsbehov,
användningsområde och syfte.

MSBFS 2020:7 – detaljerade råd om
skyddsåtgärder
• MSBFS 2020:7 4 kap. 1 § Myndigheten ska förhindra spridning av
incidenter och minska konsekvenser av angrepp genom att placera
informationssystem med olika funktioner i separata
nätverkssegment i sin produktionsmiljö.
• Allmänt råd till MSBFS 2020:7 4 kap. 1 § Följande funktioner i
produktionsmiljön bör placeras i separata nätverkssegment:
1. Klienter för användare.
2. Klienter för administration.
3. Servrar.
4. Centrala systemsäkerhetsfunktioner i form av
behörighetskontrollsystem, säkerhetsloggning, filtrering och liknande.
5. Centrala stödfunktioner i form av skrivare, scanner och liknande.
6. Trådlösa nätverk.
7. Gästnätverk.
8. Externt åtkomliga tjänster.
9. Informationssystem som sammankopplas med informationssystem
hos extern aktör.
10. Industriella informations- och styrsystem (SCADA).
11. System som innehåller sårbarheter som inte kan hanteras.

ISO27002:2022
Segregation in networks (8.22)
• Large networks can be split into several
domains. This means that different
security levels can be applied to each
domain, with limited access to different
parts of the business network. The
networks can be fully physically separated
or digitally separated using logic
networks. Wireless networks do not have
physical boundaries and should therefore
be considered as external connections
until a gateway such as a VPN has been
passed when sensitive data is being
accessed.

ISO27002:2022
• Domänbegreppet

Cybersäkerhet i Sverige – Rekommenderade
säkerhetsåtgärder
• Skydda it-miljön genom att upprätta olika nätverkssegment med fysisk och logisk
separation och skapa kontrollerade trafikflöden mellan segmenten med hjälp av
brandväggsfunktioner som skyddar mot att oönskad trafik kan flöda fritt i
nätverket.
• (US) Center for Internet Security (CIS) CIS Controls Avsnitt: Boundary Defense;
och Controlled Access Based on the Need to Know; CIS Control 14
• UK NCSC 10 steps to cyber security Avsnitt: Network security
• NO NSM Ti viktige tiltak mot dataangrep Avsnitt: Bruk klientbrannmur

VÄGLEDNING - Säkerhetsåtgärder i informationssystem (MSB
- 2022)
Zonbegreppet
• En zon kan bestå av ett eller flera nätverkssegment.
• Uppdelningen kan göras med stöd av logiska åtgärder, exempelvis VLAN (Virtual Local Area

VÄGLEDNING - Säkerhetsåtgärder i informationssystem (MSB
- 2022)
Figur 1
Exempel på en organisations
organisations omgivning samt
samt övergripande indelning av
indelning av it-miljöer och
zoner.

• De olika zonerna har olika användningsområden, skyddsbehov och möjlighet till
extern kommunikation. Nedan följer exempel på zoner och vilka
informationssystem som placeras där.
• Produktionsmiljö
• - Zon för användarnära system: användarklienter och användarapplikationer.
• - Zon för verksamhetssystem: servrar, databaser, katalogtjänster och
nätverksutrustning.
• - Zon för systemadministration: tjänster och klienter som används för
systemadministrativa åtgärder.
• - Zon för centrala systemsäkerhetsfunktioner: behörighetskontrollsystem och
säkerhetslogg.
• - Zon för externt exponerade system (även kallad DMZ): tjänster som exponeras mot
internet, till exempel publika webbservrar, vpn-koncentrator och e-postgateway.
VÄGLEDNING - Säkerhetsåtgärder i informationssystem (MSB
- 2022)

Säpo - zonmodell
• Ett teoretiskt koncept som kan användas för att åskådliggöra olika principer för att
minska exponeringen av ett informationssystem är att modellera olika
säkerhetszoner. I denna kontext placeras ett informationssystem i en säkerhetszon
baserat på hur skyddsvärt det är.

Säpo - zonmodell
• Informationssystem placerade inom samma
säkerhetszon kan kommunicera direkt med
varandra och dela infrastrukturkomponenter.
Kommunikation mellan dessa skall dock ske
på ett kontrollerat sätt, exempelvis med hjälp
av brandvägg.

Säpo – ”resurscell”
• Konceptuell design över hur
åtkomst mellan
komponenter, funktioner
eller delsystem inom samma
informationssystem kan
begränsas.
• Samtliga funktioner kan där
kommunicera och överföra
logg till ett nätsegment som
skyddar logginformationen
från obehörig påverkan.
• Kommunikationen inom
verksamhetssystemet
begränsas genom
nätsegmentering i olika
zoner.

VÄGLEDNING - Säkerhetsåtgärder i informationssystem (MSB
- 2022)
Figur 2
• Exempel på en organisations
zoner, segment och
kommunikationsvägar internt och
och mot omgivningen.
• A-F symboliserar
informationssystem med olika
funktioner och/eller som
behandlar information med olika
olika skyddsbehov.

Mappning
• Mappning vägledning ISO27002:2022

MSBFS 2020:7 – Drift och förvaltning
Ytterligare åtgärdsområden:
• Behörigheter och digitala identiteter
• Autentisering
• Kryptering
• Säkerhetskonfigurering
• Säkerhetstester och granskning
• Ändringshantering, uppgradering och updatering
• Korrekt tid
• Säkerhetskopiering
• Säkerhetsloggning
• Övervakning
• Skydd mot skadlig kod
• Skydd av utrustning
• Redundans och återställning

MSBFS 2020:7 – Drift och förvaltning
Frågor?