Informationsklassning och systemsäkerhetsanalys en guide

Transkript

1 (7) GUIDE Digitaliseringsenheten Informationsklassning och systemsäkerhetsanalys en guide Innehåll Informationsklassning och systemsäkerhetsanalys en guide... 1 Kort om informationssäkerhet... 2 Informationsklassning och systemsäkerhetsanslys en inledning... 2 Steg 1: Informationsklassning VAD ska skyddas?... 2 Steg 2: Systemsäkerhetsanalys: HUR ska det skyddas?... 3 Informationsklassning (VAD)... 3 Ansvar för informationsklassningen... 3 Om säkerhetsaspekter... 3 Om säkerhetsnivåer... 4 Informationsklassning gör så här:... 5 Systemsäkerhetsanalys (HUR)... 6 Vad är KLASSA?... 6 Så använder ni KLASSA... 6 Förberedelser:... 6 Så arbetar ni i verktyget... 7 POSTADRESS BESÖKSADRESS TELEFON E-POST SMS WEBB ORG.NUMMER Nacka kommun, Nacka Stadshuset, Granitvägen info@nacka.se

2 2 (7) Kort om informationssäkerhet Informationssäkerhet är de åtgärder vi vidtar för att skydda den information vi hanterar. Vi vill säkerställa att informationen är tillgänglig när den behövs och hindra att den läcker ut (vid sekretess och känslig information), förvanskas eller förstörs. Informationen som ska skyddas kan vara både analog och digital information i form av personuppgifter, filer, e- postmeddelanden, filmer, och bilder. Även källkoden i våra system måste skyddas. Hanteringen av information styrs av avtal, lagar och förordningar. Utöver lagar så finns det rekommendationer från MSB (ISO 2700-serien) som tolkas om och sätter en standard för hur Nacka kommun arbetar med informationssäkerhet. Denna guide beskriver kort hur du gör en informationsklassning och en systemsäkerhetsanalys med verktyget KLASSA. Informationsklassning och systemsäkerhetsanslys en inledning För att ta reda på hur informationen ska hanteras och skyddas bör informationen klassas enligt en informationsklassningsmodell och därefter bör en systemsäkerhetsanalys genomföras. Informationsklassningen tittar på VAD som ska skyddas, systemsäkerhetsanalysen ger svaret HUR informationen bör skyddas. Steg 1: Informationsklassning VAD ska skyddas? All informationsbehandling bör genomgå en informationsklassning. (När det gäller system som hanterar skyddsvärd information SKA en informationsklassning genomföras.) En informationsklassning är en metod som hjälper verksamheten att kartlägga vilka uppgifter som behandlas och vilket skydd uppgifterna ska ha. Oavsett om det är fysisk eller digital information är kraven på skyddet likvärdigt. Informationen klassas, det vill säga bedöms, utifrån tre kriterier: Tillgänglighet - att den alltid är tillgänglig när vi behöver den Riktighet - att vi kan lita på att den är korrekt och inte manipulerad eller förstörd Konfidentialitet - endast behöriga personer får ta del av den Det är enheten som upphandlat systemet eller använder systemet mest, som ska göra informationsklassningen. Systemägaren ansvarar för att klassningen blir gjord. I samband med informationsklassningen kommer man ofta in på risker och hur de ska hanteras. Man kan även genomföra en riskanalys separat vid behov.

3 3 (7) Steg 2: Systemsäkerhetsanalys: HUR ska det skyddas? Efter informationsklassningen bör verksamheten även genomföra en systemsäkerhetsanalys i verktyget KLASSA. Systemsäkerhetsanalysen kartlägger brister och styrkor i systemet och miljön kring systemet. En systemsäkerhetsanalys analyserar både den tekniska säkerheten och processerna runtomkring. För att säkerställa att skyddet för uppgifterna är tillräckligt starkt så måste hanteringen kring uppgifterna vara starkt. Ett starkt skydd fungerar inte om hanteringen runtomkring är svag i form av exempelvis bristfälliga rutiner. Informationsklassning (VAD) Informationsklassning genomförs i första hand för att identifiera vilka typ av information som hanteras inom verksamheten och vilka krav som ställs vid hanteringen av informationen. Den beskriver vad som ska skyddas. Det ligger i verksamhetens intresse att göra en informationsklassning för att säkerställa att skyddet för uppgifterna är på lämplig nivå. Informationen och skyddet bedöms utifrån säkerhetsaspekterna och säkerhetsnivåer. Ansvar för informationsklassningen Det är lämpligt att ansvaret för informationsklassningen tilldelas en enhetschef, då ansvaret för informationen som Nacka kommun behandlar, förvaltar och lagrar inte kan tilldelas till någon med en tjänstetitel lägre än enhetschef. Om säkerhetsaspekter Utifrån säkerhetsaspekterna beskriver du konsekvenserna av en oönskad negativ påverkan. Säkerhetsaspekter Konfidentialitet Riktighet Tillgänglighet Beskrivning Skydd mot obehörig insyn. Beskriv hur stora konsekvenserna skulle bli för verksamheten om informationen sprids till obehöriga under hantering, lagring, bearbetning, kommunikation eller transport. Skydd mot oönskad förändring. Beskriv hur stora konsekvenser skulle bli för verksamheten om informationens riktighet förvanskas eller ändras under behandling, lagring, bearbetning, kommunikation eller transport. Informationen ska kunna nyttjas i rätt tid, av rätt person. Beskriv hur stora konsekvenserna skulle bli för verksamheten om informationen inte var tillgänglig vid bearbetning i kommunikationssyfte eller exempelvis nedladdning vid externa uppdrag.

4 4 (7) Om säkerhetsnivåer Säkerhetsnivån sätts genom att bedöma hur omfattande konsekvenserna blir om informationen utsätts för oönskad negativ påverkan. Nivå 0 innebär att uppgifterna kan anses som öppna och konsekvenserna är försumbara. Nivå 4 är den högsta nivån och konsekvenserna innebär skada eller hot mot rikets säkerhet. I vanliga fall finns det inte behov av nivå 4 inom Nacka kommuns verksamheter. Om ni känner behov av att skydda informationen högre än nivå 3, kontakta informationssäkerhetsamordaren på digitaliseringsenheten. Nivå 4 Synnerligen allvarlig Skydd mot spioneri, sabotage och andra brott som kan hota rikets säkerhet, och skydd mot terrorism Nivå 3 Allvarlig Massiv informationsförlust, verksamhetsförlust, oöverskådliga konsekvenser, eller fara för liv och hälsa. Nivå 2 Betydande Tillgänglighetsstörningar, brott mot regelverk, rättsliga krav och avtal, eller förlust av skapat förtroende. Nivå 1 Måttlig Minskad förmåga att genomföra verksamhetens uppgifter, men effektiviteten är påvisbart reducerad Nivå 0 Försumbar Inga eller försumbara konsekvenser Det finns en mer beskrivande guide gällande säkerhetsnivåerna på (Informationsklassning enkel mall) Vid en analys ska många aspekter tas med och det finns inga självklara svar i en bedömning om rätt säkerhetsnivå. Exempel på frågeställningar att utgå från: - Hur känsliga är uppgifterna? - Vilka risker är ni beredda att ta? - Hur kostsamt blir det att införa alla skyddsåtgärder? - Hur mycket information handlar det om? - I vilket sammanhang finns informationen? - Hur allvarlig blir konsekvensen för individen eller verksamheten om uppgifterna röjs?

5 5 (7) Informationsklassning gör så här: Workshop med olika kompetenser För att uppnå bästa möjliga resultat i en informationsklassning bör ni ha ett arbetsmöte eller workshop med ett flertal personer med kompetens inom olika områden av verksamheten ni bedriver. Syftet med mötet är att identifiera vilken typ av information som hanteras och hur känslig informationen är. Exempel på kompetenser som bör delta på mötet: Enhetschef, systemägare, systemförvaltare, informationsägare, sakkunnig handläggare. Steg 1 ladda ner guider och mallen för informationsklassning Ladda ner rätt instruktioner från Nacka.se eller kontakta digitaliseringsenheten för att få tillgång till senaste dokumentationen. Dokument som behövs är Informationsklassning mall Beskrivning av säkerhetsnivåer (vid behov) Guide informationsklassificering och systemsäkerhetsanalys (detta dokument) Steg 2 fyll i mallen I informationsklassningssmallen finns beskrivningar och exempel på hur hela klassificeringen går till. Fyll i/kryssa i de svar som efterfrågas och skicka sedan mallen till informationssäkerhetssamordnaren på digitaliseringsenheten. Om ni hanterar känslig eller sekretessbelagd information ska ni även göra en systemsäkerhetsanalys.

6 6 (7) Systemsäkerhetsanalys (HUR) Vad är KLASSA? KLASSA är ett digitalt verktyg som SKL har tagit fram. Med hjälp av verktyget kan du göra en informationsklassning, ta fram en handlingsplan och skapa en lista med informationssäkerhetskrav vid upphandling. Informationsklassning - Du kan klassa informationen i ett verksamhetssystem utifrån vilka konsekvenser som uppstår om till exempel informationen inte kan nås, om den förvanskas eller om det finns brister i vem som får komma åt informationen. Obsevera! Gör informationsklassningen med vår mall först (dokumentet heter Informationsklassning mall) och för sedan in resultatet i KLASSA. Handlingsplan - Utifrån klassningen kan du ta fram en handlingsplan med krav på förvaltning av systemet och hantering av dess informationsinnehåll. Upphandlingskrav - Du kan också få ut en lista med förslag på informationssäkerhetskrav som stöd vid upphandling. En verksamhetsnära systemförvaltare genomför klassningen tillsammans med systemägare, användare och informationssäkerhetssamordnare och får sedan ett förslag på handlingsplan. Därefter görs en självskattning av hur väl åtgärderna i handlingsplanen är uppfyllda. Klassningen kan även användas i samband med upphandling för att få förslag på krav. Handlingsplanen kan användas både i det praktiska arbetet med förvaltning av enskilda verksamhetssystem och i det systematiska kvalitetsarbetet på övergripande nivå. KLASSA ska anses som ett levande dokument då regler, föreskrifter och andra säkerhetslösningar ständigt uppdaterats. Systemförvaltaren ska uppdatera KLASSA regelbundet samt vid större förändringar av systemet eller i verksamheten. Så använder ni KLASSA Förberedelser: 1. Ansök om inloggningsuppgifter till KLASSA genom att maila informationssäkerhetssamordnaren hos digitaliseringsenheten. I mailet bör det framgå för- och efternamn, e-postadress och telefonnummer. 2. Boka en workshop på cirka 2-2,5 timmar. Deltagare som bör vara med på mötet är systemförvaltaren, driftsansvarige (om systemet driftas på plats), informationsägaren och sakkunnig på systemet och verksamheten i stort. Ta även kontakt med informationssäkerhetssamordnaren vid behov.

7 7 (7) a. Exempel på vem och vilka som svarar på olika frågor i KLASSA: Så arbetar ni i verktyget Organisation Enhetens ansvar Hantering av tillgångar Enhetens ansvar Kontinuitetshantering Enhetens ansvar Personalsäkerhet Incidentrapportering Efterlevnad Styrning av åtkomst Kryptografiska säkerhetsåtgärder Leverantören Fysisk säkerhet Leverantören Driftsäkerhet Leverantören Kommunikationssäkerhet Leverantören Anskaffning, utveckling och underhåll Leverantören 1. Logga in och gå in på länken Mina handlingsplaner. Skrolla tills ni hittar era namn och systemnamn. Välj Skapa handlingsplan. 2. Välj aktuella säkerhetsnivå på konfidentialitet, riktighet och tillgänglighet (lär mer om detta i informationsklassningsmallen). Välj sedan lagrum och efter det tryck på självutvärdering. 3. Läs frågeställningen och klicka i ett av svarsalternativen. Försök undvika att inte svara på frågorna, kryssa hellre i att ni inte uppfyller kraven. Använd kommentarsfältet för att ge en närmare beskrivning och ange om någon är ansvarig för frågan. 4. När frågorna är besvarade: Klicka på spara (längst upp i högra hörnet), sedan resultat. Längst ner på sidan finns en handlingsplan att arbeta efter, för att uppfylla de krav som ställs på systemet. Det är upp till systemägaren och systemförvaltaren att besluta om vilka åtgärder som anses nödvändiga och om de ska genomföras.