Riktlinjer informationssäkerhetsklassning

Transkript

1 Riktlinjer informationssäkerhetsklassning

2 Innehållsförteckning Dokumentinformation... 3 Versionshantering... 3 Riktlinjer för informationssäkerhetsklassning... 4 Inledning... 4 Perspektiv i informationssäkerhetsklassningen... 4 Roller... 4 Process... 4 Steg 1 Identifiering, Klassificering och Prioritering... 5 Steg 2 Riskanalys... 5 Steg 3 Åtgärder... 5 Underlag till kontinuitetsplanering... 5 Vägledning för klassificering av informationstillgångar från SKLs verktyg KLASSA... 6 Vägledningar klassificering... 6 Värdering av försumbar, måttlig, betydande och allvarlig... 8 Löpande klassificering... 8 Mall för identifiering av informationstillgångar... 9 Mall för informationssäkerhetsklassning av informationstillgångar... 1 Mall för prioritering av informationstillgångar till riskanalys... 2 Mall för sammanställning av hotbild... 1 Mall för hotbildsbeskrivning och ev. åtgärder vid riskanalys... 2

3 Dokumentinformation Titel Dokumenttyp Skapat av Riktlinjer informationssäkerhetsklassning Riktlinje Petronella Enström, Koncernstaben Datum Senast ändrad Godkänt av TF IT-direktör, Linda Gustafsson Version 1.0 Versionshantering Version Datum Ändrad av Kommentar Petronella Enström Beslutad av TF IT-direktör under styrgruppsmöte HIT fas 1

4 Riktlinjer för informationssäkerhetsklassning Dessa riktlinjer ska stötta dig som informationsägare, informationsförvaltare, systemägare av ett IT-stöd och/eller verksamhetsansvarig i arbetet att informationssäkerhetsklassa informationen. Inledning En del i arbetet med att ha en kvalificerad, säker och långsiktig informationsförvaltning är att informationssäkerhetsklassa informationen. Perspektiv i informationssäkerhetsklassningen Informationssäkerhetsklassning görs utifrån 4 perspektiv: Tillgänglighet vikten av tillgång till informationen inom önskad tid Konfidentialitet vikten av åtkomstbegränsning Riktighet vikten av tillförlitlig, korrekt, fullständig information Spårbarhet vikten av att kunna spåra olika händelser Utifrån denna klassning får ni reda på vilken typ av information som hanteras inom IT-stödet och därmed vilka krav ni skall ställa på den leverantör som ska tillhandahålla drift av ITstödet. Roller Det är informationsägaren som äger och ansvarar för att informationen är riktig och tillförlitlig samt för det sätt informationen sprids. Informationsägaren är därmed riskägare för den information som ska hanteras i it-systemet/lösningen. För att hantera risken bör informationsägaren genomföra en riskanalys. Om det finns flera informationsägare som ska använda it-systemet/lösningen bör samtliga delta i riskanalysen. Eftersom skadeverkningarna av bristande säkerhet i it-systemet/lösningen uppstår hos informationsägaren är det informationsägaren som måste bedöma risker och ställa krav bland annat genom informationsklassning. De interna relationerna mellan informationsägare och systemägare bör, när det gäller informationssäkerhet, utgå från informationsägaren. Process Informationssäkerhetsklassning genomförs i ett antal processteg, informationsidentifiering, informationsklassificering och riskanalys. Målet är att hitta de tillgångar som är viktiga för den verksamhet som belyses och även information som kan vara gemensam för flera verksamhetsområden. Det är viktigt att personer med stor verksamhetskompetens genomför processtegen, då de har verksamhetskunskaper som gör att identifiering, klassificering och prioritering av tillgångarna är möjlig.

5 Klassificering Verksamhetens information Tillgångar Prioriterade tillgångar Underlag för Riskhantering Identifiera tillgångar Klassificering och Prioritering Riskanalys Det praktiska arbetet sker i tre steg. Steg 1 Identifiering, Klassificering och Prioritering Arbetet startar med en inventering av de tillgångar som verksamheten använder i sin verksamhet. Det är framför allt viktigt att identifiera de tillgångar som är mest kritiska, men även sekundära tillgångar bör noteras för att hanteras i nästa skede. Nästa steg är att klassificera identifierade tillgångar. Informationssäkerhetsklassning görs utifrån aspekterna konfidentialitet, riktighet, tillgänglighet och spårbarhet. Det kan SKL:s verktyg KLASSA användas till eller bilagda. Tillgångarna prioriteras sedan och de fem viktigaste som inte tidigare har hanterats prioriteras för vidare analys. Steg 2 Riskanalys Nu är det dags att analysera varje tillgång och hitta de hot som kan riktas mot tillgången. Först identifieras hoten mot den aktuella tillgången. Sedan görs en bedömning av vilken klassificering hotet riktas mot (Konfidentialitet, Tillgänglighet, Riktighet, Spårbarhet) samt sannolikhet och påverkan. Slutligen beskrivs hur hotet kommer att påverka verksamheten om der skulle inträffa och vilka konsekvenser det skulle få. Steg 3 Åtgärder I sista delen belyses hur hotet skall hanteras. Denna del behöver inte genomföras för att skapa ett underlag för informationssäkerheten, men åtgärder är i de flesta fall nödvändiga för att få upp informationssäkerheten på rätt nivå. Underlag till kontinuitetsplanering Detta arbete blir ett bra underlag till en kontinuitetsplanering för verksamheten för att kunna upprätthålla sin verksamhet vid en informationssäkerhetsincident.

6 Vägledning för klassificering av informationstillgångar från SKLs verktyg KLASSA Vad som räknas som informationstillgångar är de som verksamheten identifierar som sådana. Det innebär att två organisationer kan få olika resultat i sin analys för vilka tillgångar som ska klassificeras. Klassificeringen har två ingångsvärden: krav och klassificeringsmodell. Gällande kraven så delas dessa upp på de som kommer från avtal, lagar, förordningar och andra författningar, (externa krav) och krav som verksamheten ställer för att kunna uppnå sina mål (interna krav). Klassificeringsmodellen som används i KLASSA är baserad på den modell som Myndigheten för samhällsskydd och beredskap, MSB, har tagit fram för att användas som stöd i informationssäkerhetsarbete. Observera att modellen i sig inte ger svar på hur den klassificerade tillgången sedan ska hanteras. Klassificeringen ger bara ett stöd för den som hanterar informationstillgången hur informationen värderas och på så sätt ger en vägledning på vilka hanteringskrav som ska appliceras. Dessa krav kan t.ex. (men är inte begränsade till) handla om tekniska åtgärder inom it-säkerhet som till exempel brandväggar, krypteringsfunktioner, anti-virus men också om organisatoriska åtgärder såsom verksamhetens organisation, ansvar och rutiner, instruktioner och uppföljning. Vägledningar klassificering Nedan följer ett antal vägledningar som kan vara till nytta för vara en hjälp i arbetet med klassificering. Typ av information Kommentar Det finns tre typer av sekretess: absolut, stark och svag. Information som faller under OSL Absolut sekretess betyder att inga uppgifter under några förutsättningar får lämnas ut till andra än de anställda som behöver uppgifterna för att kunna utföra sitt arbete. Detta gäller t ex för uppgifter i ännu inte avslutade upphandlingsärenden. Stark sekretess betyder att sekretesskydd gäller i första hand och uppgiften får endast lämnas ut om det står klart att så kan ske utan att visst men eller viss skada uppkommer. Svag sekretess betyder att offentlighet gäller i första hand och uppgiften får endast sekretessbeläggas om det kan antas att visst men eller viss skada kan uppstå. Finns det inte stöd i sekretesslagen för att hemlighålla en handling så är den offentlig. En handling kan både innehålla sekretessbelagd information och information som är öppen. Konfidentialitet medför inte automatiskt sekretess, även om det kan finnas en koppling. Sålunda ska de två begreppen (konfidentialitet och sekretess) hållas åtskilda. Sekretess är enbart en benämning på den del av informationen som hamnar under OSL. Det ska även anmärkas att allmänna handlingar som bedöms troligtvis vara offentliga vid begäran om utlämning trots detta inte bör ges den lägsta konsekvensnivån ( ingen eller försumbar ) när det gäller konfidentialitet. Med sannolikhet hamnar information som är sekretessklassad i klassificeringen betydande eller allvarlig när det gäller konfidentialitet. Information som faller under PDL I SOSFS finns tillämpbara krav som baseras på lag och förordning. Dessa krav omfattar t.ex. överföring av patientuppgifter görs på ett sådant sätt att ingen

7 obehörig kan ta del av uppgifterna, och att åtkomst till patientuppgifter föregås av stark autentisering (konfidentialitet). Likaså får inte informationen förändras eller utplånas (riktighet och tillgänglighet) annat än med stöd av bestämmelserna i patientdatalagen. Med sannolikhet hamnar patientdata i klassificeringen betydande eller allvarlig för samtliga säkerhetsaspekter. Personuppgifter finns i olika former såsom harmlösa, integritetskänsliga och känsliga. Enligt personuppgiftslagen ska den som är personuppgiftsansvarig vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda personuppgifterna. Några punkter man kan ta in i arbetet med att klassificera informationen kan baseras bl.a. på: Information som faller under PUL/DSF Finns det risk för att personuppgifterna kan spridas på ett oönskat sätt? Hanteras personuppgifter via öppna nät som internet, till exempel via en webbhemsida eller genom e-post? Kan många användare komma åt personuppgifterna? Behandlas personuppgifter om många personer? Behandlas en stor mängd personuppgifter om varje person? Hur stor är sannolikheten för och konsekvenserna av tekniska störningar eller att obehöriga får åtkomst till uppgifterna? Ju fler av dessa frågor som man svarar Ja på desto mer omfattande bör säkerhetsåtgärderna vara. Normalt sett harmlösa (d.v.s. inte är integritetskänsliga) personuppgifter kan dock bli känsliga beroende på i vilket sammanhang de förekommer. Integritetskänsliga uppgifter är t.ex. uppgifter om ekonomisk hjälp eller vård inom socialtjänsten. I DSF kommer det krav som går utanför PuLs nuvarande krav i och med att man i DSF inför begreppet personuppgiftsincident vilket betyder en säkerhetsincident som leder till oavsiktlig eller olaglig förstöring, förlust eller ändring eller till obehörigt röjande av eller obehörig åtkomst till de personuppgifter som överförts, lagrats eller på annat sätt behandlats. Det innebär att ett register måste hanteras på ett korrekt sätt gällande alla säkerhetsaspekter, inte bara konfidentialitet. Med sannolikhet hamnar personuppgifter i klassificeringen måttlig eller betydande för samtliga säkerhetsaspekter. För information som hamnar under OSL 21 kapitel så är sannolikt klassificeringen betydande eller allvarlig när det gäller konfidentialitet. Krav på oavvislighet Med oavvislighet menas att en uppgifts ursprung går att härleda t.ex. till en person, system eller organisation. Oavvislighet kan vara en del av ett krav kring riktighet, men det omvända förhållandet (att riktighet kräver oavvislighet) har inte samma samband/sammanhang. Med sannolikhet hamnar information med oavvislighetskrav i klassificeringen måttlig eller betydande för samtliga säkerhetsaspekter utom tillgänglighet. För information som hamnar under PDL 3 kapitel 10 så är sannlikt klassificeringen betydande eller allvarlig när det gäller konfidentialitet och riktighet.

8 Värdering av försumbar, måttlig, betydande och allvarlig Observera att spårbarhet kan exempelvis både ses som en särskild aspekt för klassificering och som en säkerhetsåtgärd för att tillgodose krav på konfidentialitet och riktighet. I viss utsträckning kan detta även hävdas för alla perspektiven som informationsmängden bedöms och värderas. Beroende på organisation, huvuduppgifter, antal anställda osv. så kommer tolkningen av värderingen av begreppen försumbar, måttlig, betydande och allvarlig vara olika. Innan en klassificering kan genomföras, så ska organisationen sätta upp ett antal mätvärden för de olika begreppen. Observera att för lagkrav (t.ex. PuL/DSF, PDL OSL osv) är kraven absoluta och öppnar inte för tolkningar. Nedan följer några förenklade exempel: För aspekten tillgänglighet: Hur lång tid (mätt i minuter/timmar/dagar/veckor) kan [X] antal medarbetare och externa intressenter vara utan tillgång till informationen? Värderingen delas sedan upp i fyra tidsperioder, t.ex. för alltid, upp till två veckor, upp till 2 dygn och upp till 2 timmar. För aspekten konfidentialitet: Aspekten är en sammanvägning av externa krav (t.ex. avtal) och huruvida röjd information kan påverka enskilda personer eller andra organisationer. Mätvärde kan vara antal personer/organisationer eller värdet av information mätt i kronor eller tid att åter skaffa fram. För aspekten riktighet: För att uppnå en viss grad av aspekten inför skyddsåtgärder såsom korrekt autentisering (att rätt person gjort en viss ändring) eller att ett angivet värde inte har förändrats över tid (kan kontrolleras genom t.ex. digital signatur). Mätvärde kan vara att man uppskattar kostnaden vid felaktigheter t.ex. mätt i skadeståndsanspråk vid felaktig journalföring eller samhällskostnader i de fall felaktig (des-)information kommer upp på organisationens webb. För aspekten spårbarhet: Resultatet av aspekten ska leda till att loggar (ändringar, justeringar, radering mm) i systemet ska vara möjliga att tyda och följa i efterhand. Mätvärde kan vara mängden loggning, tiden loggen ska sparas och huruvida loggen är en kompenserande åtgärd istället för riktighet och/eller konfidentialitet. Löpande klassificering Både verksamheter och omvärlden förändras ständigt. En klassificering gäller inte för evigt eftersom information tillkommer, försvinner, förändras, får förändrad status, slås samman med annan information och så vidare. Därför behövs rutiner för hur förändringen ska hanteras i verksamheten. Alla informationsägare (eller motsvarande) har ansvar för att deras informationstillgång är korrekt klassificerad, och det är viktigt att de har resurser och kunskap för att klara av detta. Ett mycket tydligt exempel på att en informationstillgångs klassificering kan ändra värde är exempelvis upphandlingsinformation. När en upphandling är avgjord så kan anbuden (självklart efter prövning) göras tillgängliga, men att innan beslutet är taget så ska de hanteras med absolut sekretess enligt OSL vilket leder till att den ska klassas högt i enlighet med aspekten konfidentialitet. Referenser 1 OSL: Offentlighets- och sekretesslag (2009:400) 2 PDL: Patientdatalag (2008:355) med tillhörande Patientdataförordning (2008:360) och SOSFS 2008:14 Socialstyrelsens föreskrifter om informationshantering och journalföring i hälso- och sjukvården. 3 PUL: Personuppgiftslag (1998:204) med tillhörande Personuppgiftsförordning (1998:1191) och Datainspektionens föreskrifter och publicerad praxis. 4 DSF: Dataskyddsförordningen (EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning). at.

9 Mall för identifiering av informationstillgångar Datum Namn Org/Process Befattning Lista Tillgångar Vilka är de viktigaste tillgångarna för dig?

10 Mall för informationssäkerhetsklassning av informationstillgångar Informationssäkerhetsklassa de identifierade informationstillgångarna Konfidentialitet: 0-4 Tillgänglighet: 0-4 Riktighet: 0-4 Spårbarhet: 0-4 SKL:s verktyg KLASSA kan användas. Tillgång Konfidentialitet Tillgänglighet Riktighet Spårbarhet

11 Mall för prioritering av informationstillgångar till riskanalys Välj ut de tillgångar som är kritiska (högst 5 st.). Motivera varför. Rangordna tillgångarna Tillgång Beskrivning / Motivering Rang

12 Mall för sammanställning av hotbild TILLGÅNG Beskrivning av hot mot informationstillgången Nr Hot Konsekvens Hot mot Konf Tillg 1 Rikt Spår 2 Konf Tillg Rikt Spår 3 Konf Tillg Rikt Spår 4 Konf Tillg Rikt Spår 5 Konf Tillg Rikt Spår 6 Konf Tillg Rikt Spår Konf Konfidentialitet Tillg Tillgänglighet

13 Rikt Riktighet Spår Spårbarhet

14 Mall för hotbildsbeskrivning och ev. åtgärder vid riskanalys Riskbedömning Beskrivning hot Konsekvens av det inträffade Konsekvens Allvarlig Betydande Måttlig Försumbar x Mycket sällan Sällan Regelbundet Ofta Sannolikhet Sannolikheten anger hur troligt det är att hotet kommer att inträffa enligt följande kategorier: mycket sällan en gång på 100 år sällan en gång på 10 år regelbundet - årligen ofta mer än en gång per år Konsekvensen är ett mått på hur mycket verksamheten skadas om hotet blir verklighet. Påverkan kan exempelvis vara direkt eller indirekt, ekonomisk eller medmänsklig. Modellen innehåller följande fyra nivåer: försumbar skada måttlig skada betydande skada allvarlig skada Definitionerna av konsekvens och sannolikhet är ett riktmärke och kan förändras, och det är viktigt att gruppen går igenom definitionerna och ändrar det som behövs. Eventuella förändringar ska dokumenteras och tas med i Se metodstöd från MSB Åtgärder

15 Nivå Bedömning Det nuvarande skyddet bedöms vara tillräckligt. Det nuvarande skyddet bedöms inte vara tillräckligt men verksamheten accepterar de kvarvarande riskerna. Det nuvarande skyddet bedöms inte vara tillräckligt och det behövs ytterligare åtgärder. Ja/Nej Ja/Nej Ja/Nej Ytterligare skydd som behövs Åtgärder för kvarvarande risk Acceptera kvarvarande risk Åtgärda kvarvarande risk