Myndigheten för samhällsskydd och beredskaps allmänna råd om statliga myndigheters informationssäkerhet

Transkript

1 Myndigheten för samhällsskydd och beredskaps allmänna råd om statliga myndigheters informationssäkerhet Följande allmänna råd ansluter till Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet. Termer och uttryck som används i föreskrifterna har samma betydelse här. Allmänna råd har en annan juridisk status än föreskrifter. Allmänna råd är inte tvingande. Deras funktion är att förtydliga innebörden i lag, förordning eller myndighetsföreskrifter och att ge generella rekommendationer om deras tillämpning. Allmänna råd är markerade med grå bakgrund. Myndigheten för samhällsskydd och beredskap 1

2 Kommentarer till 1-2 Denna författning har som syfte att stödja och främja ett systematiskt informationssäkerhetsarbete hos statliga myndigheter. Ett gemensamt förhållningssätt till informationssäkerhetsarbete, baserat på etablerade standarder på området, skapar förbättrade förutsättningar för en säker och effektiv informationshantering i statsförvaltningen. Inte minst i samband med olika typer av informationsutbyte mellan myndigheter och gemensamma e-förvaltningstjänster. Krav på säker informationshantering hos statliga myndigheter finns i olika rättsliga regelverk. Denna författning fokuserar på hur myndigheterna arbetar med att säkerställa att informationen får ett tillräckligt skydd. Skyddet syftar till att hindra obehörig åtkomst, säkerställa tillgänglighet vid behörig användning samt att informationen inte förändras eller förstörs på ett obehörigt sätt. Det ska även vara möjligt att spåra vem som har gjort vad och när med informationen. Vissa myndigheter kan, exempelvis på grund av att de är mycket små, behöva samverka med en annan myndighet (en värdmyndighet) när det gäller att utföra det praktiska arbetet med informationssäkerhet eller informationshantering i sin helhet. Myndigheten kan därför överlåta till värdmyndigheten att helt eller delvis fullgöra de uppgifter som åligger myndigheten enligt författningen. Ansvaret för den egna organisationens information påverkas inte av att en myndighet anlitar en annan myndighet för att fullgöra de skyldigheter som följer av denna författning. Förutsättningarna för informationssäkerhetsarbetet då myndigheten anlitar en annan myndighet behöver regleras. I regleringen behöver ansvarsfördelning och resultat av informationsklassning hanteras. Dessutom bör rutiner för återkoppling rörande inträffade it-incidenter samt övrig information som krävs för att myndigheten ska kunna följa upp och informera sig om arbetet med informationssäkerhet regleras. Kommentarer till 3 Nedan följer ytterligare förklaringar av begrepp som är av central betydelse för författningen. informationsklassning Att genom konsekvensanalys identifiera skyddsbehovet för en viss informationsmängd. informationsmängd informationsägare En mängd information som är avgränsad för ett visst ändamål. En informationsägare är en person eller funktion som har det 2

3 övergripande ansvaret för en informationsmängd som hanteras inom den egna verksamheten. ledningssystem för informationssäkerhet process systemägare skyddsnivåer Ett sätt för organisationens ledning att på ett systematiskt sätt styra arbetet med informationssäkerhet i syfte att planera, genomföra, kontrollera, följa upp, utvärdera och förbättra säkerheten i verksamhetens informationshantering. En avgränsad följd av aktiviteter som förekommer upprepat i verksamheten och syftar till att uppfylla ett bestämt mål. En person eller funktion som har det övergripande ansvaret för ett itsystem. Grupperingar av åtgärder vilka används för att skydda information som med hjälp av informationsklassning konstaterats ha samma skyddsbehov. Kommentarer till 4 Informationssäkerhet är en integrerad del av och en förutsättning för myndighetens verksamhet. Syftet är att säkerställa att verksamheten kan ske med tillräcklig kvalitet. Att en extern aktör är involverad i organisationens informationshantering innebär ofta ett behov av att vidta särskilda åtgärder för att upprätthålla avsedd nivå av informationssäkerhet. När uppdrag att hantera myndighetens information ges till en extern aktör behöver myndigheten analysera de säkerhetsåtgärder som ska vidtas av myndigheten själv och de krav som ska ställas på den externa aktören. Med extern aktör avses leverantör av myndighetsgemensamma tjänster inkluderat olika typer av direktåtkomst och e-förvaltningstjänster, utkontraktering av verksamhet eller informationshantering, inhyrda konsulter och motsvarande. 3

4 Kommentarer till 5 Föreskriften ställer krav på att myndigheten, som stöd för styrningen av sitt informationssäkerhetsarbete, ska använda sig av ett ledningssystem för informationssäkerhet (LIS). Vidare framgår av 34 förordningen om krisberedskap och höjd beredskap att nationella och internationella standarder bör beaktas i regleringsarbetet. Arbetet med informationssäkerhet enligt etablerade svenska standarder beskrivs som en process med ett antal delprocesser av både förebyggande och hanterande karaktär. Syftet med den LIS-standard som föreskrifterna utgår från, samt som hänvisas till i de allmänna råden, är att säkerhetsarbetet anpassas till respektive organisations behov i de delar som bedöms vara tillämpliga. Därmed ger standarden en beslutsmodell för ledning och styrning med rimlig frihet till anpassning. Standarden SS-ISO/IEC anger krav när det gäller uppbyggnad av ledningssystemet och mera konkreta åtgärdskrav enligt standardens bilaga A. I SS-ISO/IEC finns flera åtgärder som kan användas i arbetet. Ledningssystemet för informationssäkerhet bör innehålla mål och riktlinjer för informationssäkerhet, övergripande principer som gäller för hur verksamhetens informationssäkerhet ska vara utformad, upprätthållas och utvecklas, samt de processer och rutiner som är nödvändiga för att upprätthålla informationssäkerheten. Myndighetens utformning av ledningssystemet bör regelbundet utvärderas och vid behov revideras för att säkerställa att det stödjer myndighetens informationssäkerhetsarbete på ett ändamålsenligt sätt. Till den information som organisationen hanterar räknas även information som hanteras i sådana tjänster som myndigheten erbjuder andra, exempelvis inom e-förvaltning eller e-hälsa. Myndighetens tilldelning av resurser behöver möta behoven hos de roller som tilldelats olika uppgifter inom ramen för organisationens systematiska informationssäkerhetsarbete, samt hantera de informationssäkerhetsrelaterade risker och sårbarheter som organisationen identifierat. Även om ett LIS omfattar all hantering av information i organisationen, kan utrymmet för att välja olika sätt att utforma skyddet för viss typ av information vara begränsat eftersom den redan är omgärdad av ett detaljerat regelverk. Detta gäller exempelvis information som omfattas av säkerhetsskyddslagstiftningen. Stöd för en myndighets styrning av informationssäkerhetsarbetet enligt denna författning bör hämtas från svensk standard Ledningssystem för informationssäkerhet Krav (SS-ISO/IEC 27001:2014 fastställd

5 26) samt Informationsteknik Säkerhetstekniker Riktlinjer för informationssäkerhetsåtgärder (SS-ISO/IEC fast ställd ). Stöd för hur ett ledningssystem för informationssäkerhet kan införas och utformas finns även på ytterligare stöd för informationssäkerhetsarbete finns på Kommentarer till 6 Myndighetens ledning har ett särskilt ansvar för att styra och skapa förutsättningar för myndighetens informationssäkerhetsarbete. Denna uppgift förutsätter uppdaterad kunskap om organisationens behov av och förutsättningar för säker hantering av information. Myndighetens dokumentation av informationssäkerhetsarbetet bör utgöra en del av den löpande informationen till myndighetsledningen och ett av underlagen vid myndighetens utvärdering. Myndighetens ledning bör, med stöd av den information som lämnas till ledningen, följa upp och utvärdera informationssäkerhetsarbetet flera gånger per år. Utvärdering bör särskilt ske i samband med mer omfattande omorganisationer, förändringar av it-infrastrukturen eller andra motsvarande förändringar där skäl finns att misstänka att informationssäkerheten kan påverkas. Kommentarer till 7 Ett systematiskt och kontinuerligt informationssäkerhetsarbete förutsätter ett antal olika styrande dokument. Dokumentens övergripande syfte är att styra och stödja arbetet som resulterar i att informationssäkerhet införlivas i verksamhetens processer, system och tjänster. Informationssäkerhetspolicyn och andra styrande dokument utgör systemdokumentationen av LIS. En informationssäkerhetspolicy behöver innehålla en beskrivning av verksamhetens behov av informationssäkerhet samt mål och övergripande principer för hur informationssäkerheten i verksamheten ska vara utformad, upprätthållas och utvecklas. Myndighetens informationssäkerhetspolicy bör bygga på verksamhetens inriktning, organisation, intressent- och författningskrav samt identifierade hot och risker. Andra styrande dokument kan exempelvis vara myndighetens riktlinjer och beslut om ansvarsfördelning och incidenthantering. Styrande dokument upprättas i den omfattning som krävs för en kontinuerlig ledning och styrning av verksamhetens informationssäkerhet. De styrande dokumenten bör tydliggöra kraven på dokumentation av 5

6 informationssäkerhetsarbetet. Myndigheten bör säkerställa att informationssäkerhetspolicyn och de styrande dokumenten kommuniceras till berörd personal, inklusive berörda externa parter. För att kontinuerligt kunna anpassa informationssäkerhetsarbetet till verksamhetens behov och på detta sätt bedriva ett ändamålsenligt informationssäkerhetsarbete, krävs kunskap om risker och sårbarheter, exempelvis information om inträffade incidenter. I sådan dokumentation som i övrigt krävs enligt 7 bör både uppgifter om eventuella brister i det systematiska informationssäkerhetsarbetet och allvarligare informationssäkerhetsincidenter ingå. För att kunna sätta samman en helhetsbild över inträffade incidenter och händelser i myndighetens it-system och för att säkerställa jämförbarhet mellan loggar behöver myndigheten säkerställa att alla system har en enhetlig tid. Kommentarer till 8 Myndigheten behöver kartlägga sina verksamhetsprocesser och det behov av informationshantering som behövs för att stödja dessa. Detta för att underlätta verksamhetens arbete med att ställa krav på informationens konfidentialitet, riktighet, tillgänglighet och spårbarhet. En process i verksamheten kan exempelvis vara att handlägga ansökan om bidrag eller att förvalta it-system. Processen förutsätter ofta tillgång och möjlighet till att bearbeta olika informationsmängder. Sättet att utföra kartläggningen bör anpassas till vad som krävs för att underlätta identifiering av interna krav på informationssäkerhet. Vägledning för processorienterad informationskartläggning finns på Kommentarer till 9 Utöver att etablera en ändamålsenlig organisation av informationssäkerhetsarbetet och välja rätt tekniska lösningar behöver myndigheten bygga upp en god säkerhetskultur. En sådan innebär i korthet att medarbetarna känner sig delaktiga i, är motiverade för och har förståelse för hur och varför informationssäkerhetsarbetet bedrivs Myndighetens ledning bör tydliggöra kopplingen mellan säker informationshantering och möjligheten att utföra organisationens uppgifter för medarbetarna. 6

7 Arbetet med att bygga upp en god informationssäkerhetskultur underlättas när myndighetsledningen skapar intresse för frågorna. Andra viktiga åtgärder är regelbunden utbildning och övning. God säkerhetskultur avseende informationssäkerhet förutsätter att medarbetare känner till och medverkar till att gällande regelverk följs. Kännedom om vilka regler som gäller för myndighetens informationshantering är ofta även en förutsättning för att arbetsrättsliga åtgärder ska kunna vidtas vid arbetstagares eventuella regelbrott. Utbildningen kan med fördel omfatta etik- och integritetsfrågor och myndighetens värdegrunder. Olika uppgifter i organisationen förutsätter olika kunskap och kompetens rörande informationssäkerhet. Det är av vikt att utbildningen anpassas till både arbetsuppgifterna och den befintliga kompetensnivån i organisationen. Det gäller särskilt de funktioner och roller med utpekade uppgifter för myndighetens informationssäkerhetsarbete. Myndigheten bör ha rutiner för utbildning som säkerställer att personalen har tillräcklig kunskap om gällande regler för informationssäkerhet. Rutinerna bör omfatta all personal. Myndigheten bör ha en kompetensförsörjningsplan som säkerställer att all personal har tillräcklig säkerhetskompetens för att kunna utföra sina arbetsuppgifter. Vid anlitande av externa parter behöver krav ställas på tillräcklig kompetens avseende informationssäkerhet. Övningar av myndighetens säkerhetsåtgärder för kontinuitetshantering avseende informationssäkerhet bör utvärderas och erfarenheterna bör återkopplas till verksamheten. Kommentarer till 10 Myndighetens systematiska informationssäkerhetsarbete bör ständigt utvecklas för att omhänderta interna och externa krav. Ett sådant arbete förutsätter flera steg som bygger på varandra och som sedan upprepas. Informationsklassning stödjer arbetet med riskanalys vilket i sin tur är en förutsättning för att vidta rätt åtgärder. Åtgärdernas effektivitet utvärderas därefter och arbetet dokumenteras. Vidare behöver skyddet anpassas till de behov och de risker som finns. Arbetet underlättas genom att myndigheten i förväg specificerar olika skyddsnivåer. Information med olika skyddsbehov kan därefter knytas till lämplig skyddsnivå. Myndigheten bör kontinuerligt analysera hot och risker i verksamheten. Resultatet av genomförda analyser bör leda till beslut om lämpliga säkerhetsåtgärder. I ISO/IEC ställs krav på att säkerhetsåtgärder ska väljas, den anger också att de säkerhetsåtgärder som finns i standarden SS- ISO/IEC ska övervägas och vid behov kompletteras. 7

8 Myndigheten bör utveckla standardiserade skyddsnivåer där säkerhetsåtgärder sammanförs på ett sätt som motsvarar myndighetens informationsklassningsmodell. Särskild uppmärksamhet bör läggas på att verksamhetens säkerhetskrav beaktas vid utveckling, upphandling, anskaffning och avveckling av resurser för informationsbehandling. Vid utveckling av e-tjänster bör åtgärder vidtas för att säkerställa att medborgare och samverkande parter inte drabbas av skada. Etablerade säkerhetsåtgärder bör verifieras och godkännas av systemägaren innan driftsättning. Relevans och nytta av vidtagna åtgärder bör utvärderas genom regelbunden granskning och uppföljning. Intern granskning bör kompletteras med oberoende extern granskning. Fortlöpande dokumentation om klassning, riskanalyser och andra bedömningar bör sammanställas på ett sådant sätt utvärdering av informationssäkerhetsarbetet underlättas. I dokumentationen bör även informationssäkerhetsaspekter beaktas avseende: myndighetens interna informationshantering, myndighetens information som hanteras av extern part, och tjänster som myndigheten erbjuder andra aktörer inom e-förvaltning eller motsvarande. Vägledning för informationsklassning finns på Kommentarer till 11 Rutiner för incidentrapportering och incidenthantering bör vara utformade så att de bidrar till att mildra effekter av, säkra elektronisk bevisning om, och förhindra upprepande av incident, samt för att underlätta återgång till normal drift. Rapportering av inträffade incidenter bör regelmässigt ske till den eller de befattningshavare som utsetts för att leda och samordna informationssäkerhetsarbetet. Rutiner för incidentrapportering och incidenthantering behöver vara kommunicerade till berörd personal och berörda externa parter. Kännedom om rutinerna bör regelbundet följas upp. Större störningar, avbrott och kriser kan orsaka stora funktionsproblem för en organisations informationshantering. Det kan exempelvis handla om långvariga elavbrott, omfattande sjukdomsfrånvaro hos personalen, allvarliga virusangrepp eller dataintrång samt översvämningar i datorhallar. I många fall innebär en sådan händelse att organisationen inte kan använda sina resurser på avsett sätt utan måste välja hur de resurser som fortfarande fungerar ska användas. Alternativa användningar kan exempelvis ske genom 8

9 att funktionen hos en prioriterad process upprätthålls genom att fungerande resurser från en lägre prioriterad process flyttas dit eller att reservrutiner börjar tillämpas. Processer för kontinuitetshantering ger möjlighet för en organisation att förbereda sig inför och därmed enklare kunna hantera verksamhetens behov vid större störningar, avbrott och kriser. Stöd för kontinuitetshanteringsarbetet kan hämtas från genomförda riskanalyser vilka ger en bild av de typer av störningar, avbrott och kriser som särskilt bör beaktas. Även processkartläggning enligt 8 är ett viktigt stöd i kontinuitetshanteringen. En god kännedom om vilka de viktigaste processerna är, och vilka resurser som är nödvändiga för att upprätthålla dem, underlättar arbetet betydligt. Särskilda förhållanden kan behöva beaktas vid kontinuitetshantering med koppling till höjd beredskap. Grunden för detta arbete utgör dock kontinuitetshantering vid fredstida kriser. Processer för kontinuitetshantering bör säkerställa att verksamheten kan bedrivas enligt den nivå av kontinuitet som behöver upprätthållas och som beslutats efter genomförd analys av risker och sårbarheter. Genom processer för kontinuitetshantering bör myndigheten säkerställa den nivå av kontinuitet för informationshantering som krävs vid större störningar, avbrott och kriser, fastställa krisorganisation, samt fastställa hur stöd för återgång till normal verksamhet ska utformas. Myndighetens processer rörande kontinuitet för informationshantering behöver regelbundet följas upp och utvärderas. Detta bör särskilt ske i samband med övningar där säkerhetsåtgärderna för kontinuitetshantering prövas, samt större organisationsändringar och förändrade verksamhetskrav. 9