Systemsä kerhetsänälys Protokoll fo r kräv och klässificering 1

Transkript

1 Ett fiktivt eempel att använda som diskussionsunderlag Systemsä kerhetsänälys Protokoll fo r kräv och klässificering 1 Detta dokument är ett fiktivt eempel på hur en genomförd systemsäkerhetsanalys (informationssäkerhetsanalys) inklusive risk- och sårbarhetsanalys av en molntjänst för skolorna i en kommun skulle kunna formuleras. Till vissa avsnitt finns gråa kommentarsrutor med förklarande teter. Använd den tomma mallen för att fylla i de förutsättningar och bedömningar som gäller för just er verksamhet. Kommuner som har egna modeller och mallar för systemsäkerhetsanalyser bör givetvis använda dem. I eemplet tar vi del av den workshop företrädare för verksamhet, it-avdelning och juridisk enhet i den fiktiva kommunen Mittköping genomför. Bakgrundsinformation, fakta och mer vägledning finns i det stöd SKL har tagit fram när det gäller molntjänster i skolan 2. 1 Mallen är hämtad från Västerås stads modell för genomförande av verksamhetsanalys, informationsklassificering och risk- och sårbarhetsanalys och modifierad i samband med Mittköpings kommuns användande av mallen. 2

2 Informationstillgång; IT-system Infrastrukturobjekt Tjänst (SAAS) Namn: Make it Happen (MIH), leverantör DreamCloud Datum: Upprättat: Dokumentet senast reviderat: Säkerhetsprofil efter genomförd systemsäkerhetsanalys: Säkerhetsaspekt Riktighet: Konfidentialitet: Tillgänglighet: Spårbarhet: Beslutad nivå: Nivå 1-4 där 1 är lägst nivå, där incident medför ingen eller försumbar påverkan på verksamheten. 1. Om Systemsäkerhetsanalys (SSA) SSA består av fyra steg: Start: Beskriv informationstillgången Del 1: Klassificera informationen Del 2: Hot- och riskanalys Del 3: Fastställ åtgärder Att göra en systemsäkerhetsanalys innebär att tydliggöra vilken information som finns i systemet, allt från personuppgifter till fritetskrivande, och vilka krav verksamheten har på informationen. Under mötet, som Mittköpings informationssäkerhetsansvarig leder tillsammans med projektledaren, går man igenom vilken information som kommer att finnas i systemet, vilka lagrum man har att förhålla sig till och hur viktigt det är för verksamheten att informationen kan garanteras utifrån följande fyra perspektiv: Riktighet, Konfidentialitet, Spårbarhet och Tillgänglighet. Det handlar alltså om att genom informationssäkerhetsklassificeringen avgöra vilken nivå av säkerhet informationen behöver ha. Varje kategori, riktighet, konfidentialitet, spårbarhet och tillgänglighet, bedöms separat. Klassificeringen resulterar i olika krav på ittjänsten när det gäller inloggning och behörighetsstyrning med mera.

3 2. Start: Beskrivning av informationstillgången 2.1 Deltagare vid analystillfället - Ange namn, roll och kontaktinformation för varje person som deltar i analysen. Markerade med * är obligatoriska. Roll: Analysledare* Informationsägare Objektägare* Informationssäkerhetsansvarig Objektledare* Objektledare IT Namn och kontaktinformation: Lisa Larsson, e-post: tel.nummer: Pelle Persson, rektor e-post: tel.nummer: Stina Svensson, ikt-pedagog e-post: tel.nummer: Kalle Karlsson, pedagog e-post: tel.nummer: Josefin Johansson, e-post: tel.nummer: Magnus Martinsson e-post: tel.nummer: Ansvar vid SSA: Leda analysarbetet vid WS Kan delta vid mer verksamhetskritiska ITsystem Ansvarar för att initiera SSA. Ska se till att säkerhetsprofilen blir beslutad av informationsägaren. Dokumenterar analysarbetet med hjälp av mallen. Ser till att åtgärderna förs vidare till förvaltningsplanen och att förändringsarbete initieras. Objektspecialist Jurist/PuL-biträde Hanna Hansson e-post: tel.nummer: Stöd och resonemang kring lagkrav. Ansvar för PuLbiträdesavtal

4 2.2 Beskriv informationstillgången - Ange namn på objektet, it-systemet eller infrastrukturobjektet. - Beskriv kort hur verksamheten använder sig av informationstillgången. (Uppgifter kan hämtas från förvaltningsdokumentationen.) - Beskriv även det it-stöd som informationstillgången är beroende av. (Vilken infrastruktur, integrationer, fakta om driftleverantör, osv.) - Stödjer objektet, eller delar av objektet, samhällskritisk verksamhet? Användning av Make it Happen (MIH) i Mittköpings skolor Mittköpings skolor och förskolor använder flera olika it-system med olika syften några system är till för myndighetsutövning och pedagogiska administration och några för pedagogiskt arbete. MIH används för sistnämnda och ibland även för pedagogisk administration, men aldrig för myndighetsutövning. Det sker i Administrera AB och Planera AB. Mittköping har riktlinjer och rutiner framtagna för att tydliggöra vilka system som används till vad. MIH är ett processverktyg som stöd för det formativa arbetssättet, där informationen i systemet används som stöd i lärandet. Det finns också information som är mer ren information/fakta om verksamheten utåt (eternt). Här finns publiceringsytor, där man t.e. publicerar skolarbeten och information på såväl det bloggverktyg som ingår som på olika webbsiter. Eempel på funktioner/information: prov, inlämningsarbeten med formativ respons, gruppytor med veckoplaneringar, läor, delade dokument, enkäter. Ingen information är av integritetskänslig karaktär. I MIH sker ett internt informationsutbyte mellan personal och mellan pedagog och elev, t.e. via delade dokument där den som äger dokumentet sätter behörighet till berörda personer baserat på vad som ska göras (redigera, läsa). E-postadresser och den interna MIH-adressen finns med i systemet, men i övrigt inga listor eller register. Kontoskapande sker via Mittköpings integrationsmotor. Information hämtas från barn- och elevregistret Administrera AB till integrationsmotorn som har en koppling till kommunens AD. Användarkonton och de grupper och klasser eleverna tillhör skapas, uppdateras och raderas enligt bestämda regler och baserat på informationen i Administrera AB. Varje enhet har en lokal administratör som kan skapa konton manuellt. Även detta enligt bestämda regler och rutiner. 2.3 Beskriv avgränsningar - Beskriv fysiska, juridiska, organisatoriska, tekniska och andra avgränsningar inom det aktuella objektet som är relevanta för att ringa in vad som ingår i eller faller utanför det område som ska klassificeras.

5 - T.e. här analyseras inte att information som hämtas från angränsande system är verifierad, eller Endast delar som används för viss verksamhet eller information som förvaras på papper ska inte ingå. MIH används inte för myndighetsutövning, utan enbart för pedagogik och viss pedagogisk administration. Systemet används inte när det gäller elevvårdsinsatser, här sker ingen summativ bedömning, inga betyg registreras. När arbeten eller prov görs, sker viss summering/bedömning i systemet, men slutsummering (betyg) sker i annat system (Administrera AB). Mer slutgiltig bedömning och utvecklingsplaner sker också primärt i annat system (Planera AB). Summan av myndighetsutövandet hanteras alltså i andra system. Om informationen klassas med sekretess, flyttas den till annat system. Åldersgräns på 13 år finns kring några funktioner men dessa används inte för elever under 13 år. 2.4 Särskilda uppgifter för system som innehåller personuppgifter Ändamål med behandlingen För att hålla reda på vem som är vem, för att kunna hitta varandra och skapa samarbetsytor, dela dokument osv. Kategorier/grupper av personer som berörs av behandlingen Elever och skolans personal Personuppgifter eller kategorier/grupper av personuppgifter som skall behandlas För- och efternamn, klassbeteckning, gruppbeteckning Känsliga personuppgifter eller kategorier/grupper av personuppgifter som skall behandlas Nej Åtgärder som har vidtagits för att trygga säkerheten i behandlingen Mittköping har tagit fram riktlinjer och rutiner för att tydliggöra vilken information som behandlas i vilket system. Utbildningsinsatser genomförs för att öka användarnas kompetens i informationssäkerhet och i bedömning och hantering av integritetskänslig information. I riskbedömningen finns åtgärder för vad som ska göras om integritetskänslig information hamnar i systemet. Kommer uppgifterna att överföras till tredje land? Ja

6 Del 1: Klassificera informationen 3. Identifiera krav Här ska verksamheten identifiera vilka rättsliga krav som ställs på informationshanteringen och därefter vilka krav som följer av verksamhetens behov och prioriteringar. 3.1 Legala krav - Identifiera de krav i lagar eller andra författningar som måste uppfyllas och som är relevanta för informationssäkerheten. - Bedöm och markera om kravet är uppfyllt eller inte. Lag, författning: Tryckfrihetsförordningen (TF) SFS 1976:954 Tillämpbar: (Ja/Nej) Ja Uppfylld: (Ja/Nej) Ja Kommentar: Offentlighets- och Sekretesslagen (OSL) SFS 2009:400 Ja Ja Mötesanteckningar som blir t.e. allmän handling hanteras enligt Mittköpings gallringsregler. Arkivlagen SFS 1990:782 Personuppgiftslagen (PUL) SFS 1998:204 Lag om kommunal redovisning SFS 1997:614 Diskrimineringslagen Skollagen 1:8 Diskrimineringslagen, 1/1-15 bristande tillgänglighet Ja Ja Inget som lagras i MIH behöver arkiveras enligt Mittköpings dokumenthanteringsplaner. Ja Ja Personuppgifter så som för- och efternamn hanteras, men inga sekretess- eller integritetskänsliga uppgifter Nej Bokföring, årsredovisningar sker på annat ställe Nej Nej Likvärdig utbildning, t.e. ska handlingsplan för elever som inte ska ha personlig tillgång till systemet finnas. Är inte relevant utifrån ett informationssäkerhetsperspektiv men verksamheten ska ha åtgärdsplan utifrån tänkbar bristande tillgänglighet. Upphovsrättslagen Nej Eleverna äger sina arbeten. Personalens arbeten äger skolan. Yttrandefrihetsgrundlagen, YGL Nej I kombination med skolans regler (datoravtal, nätetik, upphovsrätt etc.)

7 3.2 Verksamhetens krav I den här delen av diskussionen är det verksamhetens krav på informationen som ska diskuteras, d.v.s. hur viktigt det är för verksamheten att informationen kan garanteras utifrån dessa perspektiv: Riktighet: vikten av tillförlitlig, korrekt, fullständig information Konfidentialitet: vikten av åtkomstbegränsning, insynsskydd Spårbarhet: vikten av att kunna spåra olika händelser i systemen Tillgänglighet: vikten av tillgång till informationen inom önskad tid Riktighet - Beskriv vilka krav verksamheten har när det gäller informationens riktighet. - Riktighet: Att information inte kan förändras vare sig av obehöriga, av misstag eller på grund av funktionsstörning. Informationen ska vara tillförlitlig, korrekt och fullständig. Det är viktigt att rätt personer har rätt behörigheter och att kontoinformationen är rätt. Informationen bör inte kunna förändras av obehöriga. Informationen i systemet tillhör kärnverksamheten, eftersom det handlar om den vardagliga pedagogiska lärprocessen Konfidentialitet - Beskriv vilka krav verksamheten har när det gäller informationens konfidentialitet. - Konfidentialitet: Att innehållet i dokument, information och handlingar etc. inte görs tillgängliga eller avslöjas för obehöriga. Informationen har ingen sekretess, men verksamheten ser behov av inloggning på en del nivåer, eftersom det bl.a. handlar om elevernas lärprocesser. Det kan vara t.e. arbetsmaterial som endast en begränsad krets har tillgång till, till dess man ev. publicerar. Här finns formativ respons från pedagog till elev, vilket i sig inte är känsligt eller sekretessbelagt, men inte heller relevant för obehöriga och bör inte göras tillgängligt. Användarna kan själva styra vilket mått av öppenhet dokumenten/samarbetsytorna har.

8 3.2.3 Tillgänglighet - Beskriv vilka krav verksamheten har när det gäller informationens tillgänglighet. - Tillgänglighet: Att information och informationstillgångar kan utnyttjas efter behov, i förväntad utsträckning och inom önskad tid utifrån de krav som ställs på verksamheten. Informationen bör vara tillgänglig utöver vanliga arbetstid eftersom det handlar om skolarbete som ofta utförs på såväl kvällar som helger Spårbarhet - Beskriv vilka krav verksamheten har när det gäller informationens spårbarhet. - Spårbarhet: Att, där det finns behov av det, i efterhand entydigt kunna härleda specifika aktiviteter eller händelser till ett identifierat objekt, det ska gå att se vem som har tagit del av informationen, vilka förändringar som har hänt och av vem dessa har utförts. Den pedagogiska vinsten med tjänsten är just spårbarhet, att man ser vem som gjort vad och när, för att kunna se t.e. elevers delaktighet i olika arbeten. Även administrativt (skapande av konton, grupper etc.) bör det finnas viss spårbarhet, så att man kan se vilka förändringar som hänt och av vem dessa har utförts. 3.3 Klassificeringsbeslut Efter kravanalysen kan nu informationstillgången klassificeras: Som stöd i resonemang och diskussion kan följande tabell användas. Tabellen är hämtad från SKL:s verktyg KLASSA, ett verktyg som stöd i informationssäkerhetsklassning. Nivå 4 finns inte med här, eftersom det är en nivå som innebär skada för rikets säkerhet, vilket inte är fallet här. RIKTIGHET Nivå 1 Information som obehörigen, av misstag eller på grund av funktionsstörningen ändrats medför ingen, försumbar eller måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan.

9 Systemet innehåller uppgifter som med begränsad insats kan återställas. Förändringarna bedöms inte leda till negativ publicitet för verksamheten eller skadeståndsanspråk Nivå 2 Information som obehörigen, av misstag eller på grund av funktionsstörningen ändrats medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Systemet ingår i myndighetsutövningen eller innehåller uppgifter som omfattas av krav på oavislighet, te lagrum där riktighetskrav anges. Förändringar av uppgifter bedöms kunna leda till negativ publicitet för verksamheten eller skadeståndsanspråk. Nivå 3 Information som obehörigen, av misstag eller på grund av funktionsstörningen ändrats medför allvarlig skada. Skapar stora svårigheter för kommunens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner vid egen eller annan myndighet påverkas sannolikt. Individers liv och hälsa äventyras. Systemet innehåller uppgifter där hanteringen styrs av specifika lagparagrafer, känsliga personuppgifter eller hälso sjukvård. Förändringar av uppgifter bedöms leda till allvarlig påverkan för egen eller annan organisation eller för enskild individ och kan sannolikt leda till skadeståndsanspråk. Konfidentialitet Nivå 1 Röjande av uppgifterna medför ingen, försumbar eller måttlig skada. Inga märkbara större svårigheter för verksamheten att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan organisation. Enskilda individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Systemet innehåller endast allmänna offentliga handlingar. Systemet är avsedd för bred spridning/ publicitet. Systemet innehåller inte personuppgifter. Den enskilde kan själv ansvara för riktigheten av inmatade uppgifter.

10 Nivå 2 Röjande av uppgifterna kan medföra betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Systemet innehåller arbetshandlingar eller allmänna handlingar som kan blir föremål för sekretess enligt OSL. Information avsedd för internt bruk eller känsliga personuppgifter enligt PUL. Nivå 3 Röjande av uppgifterna kan medföra allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras. Systemet innehåller information som är föremål för sekretess enligt OSL, känsliga personuppgifter, andra områdesspecifika lagrum eller tystnadsplikt. Nivå 1 Nivå 2 Tillgänglighet Ett avbrott medför ingen, försumbar eller måttlig skada Inga märkbara större svårigheter förkommunen att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan myndighet. Eterna individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Verksamhetens förmåga att uföra sina arbetsuppgifter påverkas endast i begränsad omfattning av otillgänglighet i systemet. Systemet kan vara otillgängligt i ett par dygn med måttlig inverkan på myndighetsutövningen. Ett avbrott medför betydande skada. Kommunen kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Samhällsviktiga funktioner vid egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen.

11 Nivå 3 Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en betydande omfattning av otillgänglighet i systemet. Systemet kan vara otillgängligt i ett par timmar utan negativ inverkan på verksamheten. Ett avbrott medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras. Verksamhetens förmåga att utföra sina arbetsuppgifter påverkas i en allvarlig/katastrofal omfattning av otillgänglighet i systemet. Systemet kan vara otillgängligt i upp till en timme per år utan negativ inverkan på verksamheten. Spårbarhet Nivå 1 Nivå 2 Nivå 3 Att spårbarhet saknas medför endast ingen, försumbar eller måttlig skada. Inga märkbara större svårigheter för kommunen att nå målen. Ingen påverkan på samhällsviktiga funktioner vid egen eller annan myndighet. Eterna individer eller andra myndigheter och organisationer kan notera störningen eller uppleva lindriga besvär men utan påvisbar ekonomisk påverkan. Möjligheten att härleda vad som har hänt i systemet vid förändringar av uppgifter, incident eller säkerhetsincident bedöms vara oviktigt. Att spårbarhet saknas medför betydande skada. Verksamheten kan fullfölja sina uppdrag, men med trolig risk för kännbar påverkan (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Andra myndigheter och organisationer kan påverkas (ekonomiskt eller genom behovet av att vidta etraordinära åtgärder). Samhällsviktiga funktioner i egen eller annan organisation påverkas troligen inte. Enskilda individer kan uppleva konsekvenser, såsom stora besvär eller stor ekonomisk påverkan, av störningen. Möjligheten att härleda vad som har hänt i systemet vid förändringar, incident eller säkerhetsincident bedöms vara viktigt. Spårbarhet ska finnas för att påvisa på vilket sätt information har behandlats i systemet och av vem. Att spårbarhet saknas medför allvarlig skada. Skapar stora svårigheter för organisationens verksamhet. Omöjligt eller nästan omöjligt att fullfölja uppdragen. Samhällsviktiga funktioner i egen eller annan organisation påverkas sannolikt. Individers liv och hälsa äventyras.

12 Möjligheten att härleda vad som har hänt i systemet vid förändringar, incident eller säkerhetsincident bedöms vara mycket viktigt. Spårbarhet ska finnas för alla specificerade händelser i systemet, att titta på t.e. närståendes information är ett brott och ska generera ett larm. Revisionskrav, lagar eller förordningar ställer krav på spårbarhet och/eller oavvislighet. Klassificering: Kravområde nivå: Motivering Riktighet Nivå 4, Allvarlig Nivå 3, Betydande Nivå 2, Måttlig Informationen tillhör kärnverksamheten eftersom det handlar om lärprocessen. Informationssystemet omfattas av lagrum (PuL etc.). Således medför det viss/måttlig skada. Nivå 1, Ingen eller försumbar Konfidentialitet Nivå 4, Allvarlig Nivå 3, Betydande Nivå 2, Måttlig Nivå 1, Ingen eller försumbar Systemet innehåller information som kan bli föremål för sekretess, men då flyttas den över till annat system. Det innehåller information för den egna personalen och mycket handlar om relationen pedagog-elev. Inga känsliga uppgifter ska hanteras här, så skadan anses försumbar. Tillgänglighet Nivå 4, Allvarlig Nivå 3, Betydande Nivå 2, Måttlig Nivå 1, Ingen eller försumbar Informationen tillhör kärnverksamheten eftersom det handlar om lärprocessen så om det brister i tillgänglighet medför det skada. Verksamheten klarar sig dock med andra verktyg under en viss tid. Spårbarhet Nivå 4, Allvarlig Nivå 3, Betydande Nivå 2, Måttlig Spårbarheten är en viktig del i det pedagogiska arbetet, men skadan anses försumbar eftersom det inte är kritisk eller känslig information som finns i systemet. Nivå 1, Ingen eller försumbar

13 Del 2: Hot- och riskanalys 4. Bedömning av hotrelaterade krav Riskanalys 4.1 Riskanalysens steg - Identifiera och beskriv minst tre hot mot informationstillgången. o Vad kan inträffa som negativt påverkar tillgångens Riktighet, Konfidentialitet, Tillgänglighet, eller Spårbarhet? - Beskriv konsekvensen om det inträffar o Vilken påverkan skulle det få? - Gör en sammanvägd riskbedömning 4.2 Beskrivning av risk- och hotbilder, inklusive konsekvenser och riskbedömning I tabellerna nedan görs en bedömning av sannolikhet och konsekvens för ett antal risker och hot som man tycker känns relevanta. De risker som finns med ska beaktas som eempel när det gäller just skolans användning av molntjänster och med särskilt fokus på personuppgiftsbehandlingen. Tabellerna ska läsas med färgkoderna där grön färg innebär grönt ljus och rött är stoppsignal och innebär att risken är för stor för att kunna använda tjänsten. Om krysset hamnar på gult, måste risken hanteras på något sätt innan man kan gå vidare. Det kan göras genom att undersöka frågan närmare med leverantören eller att vidta åtgärder som t.e. information eller instruktion till användarna. Hotbild 1 Hotkälla: Beskrivning av händelseförlopp: er Användarnas arbetsmaterial går förlorad pga. systemfel DreamCloud Systemfel hos DreamCloud gör att sparat material raderas. erna av att material försvinner, blir bl.a. att det pedagogiska arbetet stannar av. Det blir förseningar, arbete måste göras om, den formativa processen bryts, underlag för bedömning och utvecklingsplaner saknas. Misstänksamhet mot digitala verktyg/nätet. Användares brist på förtroende och negativ påverkan på kommunens varumärke.

14 Allvarlig Betydande Måttlig Mittköpings analysgrupp bedömer att tjänsten är stabil och tror att det mycket sällan kommer att bli så stora störningar att elevarbeten går förlorade. DreamCloud beskriver i avtalet att det finns back-up-rutiner och att det finns lagring på flera ställen som säkrar att information inte förloras. Det finns möjlighet för kommunen att pröva och säkerställa att dessa rutiner fungerar. Men man tycker att om det ändå skulle inträffa att användarna förlorar sin information, så skulle det ha en betydande påverkan eftersom t.e. elever kan förlora elevarbeten och förtroende för tjänsten. Av denna anledning anses det vara en betydande konsekvens om detta skulle inträffa. Hotbild 2 Hotkälla: Beskrivning av händelseförlopp: Integritetskänslig information finns och läcker ut Användare av systemet, eterna intressenter. Användare av systemet, hanterar (trots regler) integritetskänslig information. Kanske en pedagog sparar sina personliga reflektioner kring elever i en egen mapp, som vid tillfälle delas med kollegor inför t.e. klasskonferenser. Obehörig kommer över informationen och den sprids. Ett annat händelseförlopp är elever som skrivit privata/personliga saker eller kränkande mot andra läcker ut, antingen för att obehöriga kommer åt den eller för att eleverna själva delar med sig av den. er För den drabbade kan konsekvenserna bli stora, beroende på karaktären på informationen. Interna (och eterna) diskussioner kring hur och vad man får skriva och i vilka av skolornas system man skriver vad. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Ifrågasättande från såväl eterna håll (vårdnadshavare, journalister, datainspektionen etc.) och internt (skolledning, itavdelning, jurister, central förvaltning). Misstänksamhet mot digitala verktyg/nätet. Elevvårdsärenden. Ett arbete med förtydligande, utbildning och kontroll av informationen kommer behövas. Likabehandlingsplanen träder in.

15 Allvarlig Betydande Måttlig Mittköpings analysgrupp bedömer att arbetet med att förankra och tydliggöra vilken information som får lagras här är så pass gediget och all personal och eleverna bör veta vad som gäller. Om det trots allt sker en felaktig användning av tjänsten, anser gruppen att det är av betydande konsekvens, eftersom det går i strid med personuppgiftslagen och användningen av tjänsten skulle ifrågasättas.. Hotbild 3 Hotkälla: Beskrivning av händelseförlopp: er Ej tillräcklig informationssäkerhet i systemet DreamCloud Leverantören visar sig inte kunna etablera eller upprätthålla kraven gällande informationssäkerhet. Krav i lag och/eller förordning kan inte uppfyllas. Kan leda till hävning av avtal och/eller byte av leverantör. Allvarlig Risk för informationsförlust som påverkar det pedagogiska arbetet. Misstänksamhet mot digitala verktyg/nätet. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Betydande Måttlig

16 Detta skulle kunna ge allvarlig konsekvens eftersom användningen av tjänsten överhuvudtaget skulle ifrågasättas. Om verksamheten oplanerat tvingas byta tjänst kan det ge stor förtroendeskada och avbrott i verksamheten. Mot bakgrund av leverantörens interna arbete med säkerhet bedöms risken att detta inträffar som mycket sällan förekommande. Leverantörens interna arbete säkerställs genom att DreamCloud är certifierade enligt SS-ISO/IEC om informations- och IT-säkerhet. Eftersom leverantören därmed har ett antal säkerhetsrutiner i sitt interna arbete ser man detta som ett kvitto på att säkerheten kan godkännas. Det gör det också möjligt för kommunen att själva upprätthålla denna nivå i sin informationshantering. Eftersom det blir gulmarkering måste man ändå säkerställa ett internt arbete för att följa upp leverantörens granskningsrapporter om säkerhet. Hotbild 4 Hotkälla: Beskrivning av händelseförlopp: er Brist i tillgänglighet DreamCloud, internetleverantör, annat Systemet går inte att nå under längre tid. Det blir stora störningar i den pedagogiska vardagen, både för elever och personal. Arbeten och uppgifter man lagt ner tid på går inte att nå, kommentarer (formativ respons) finns inte tillgängliga för fortsatt arbete. Allvarlig DreamCloud som leverantör ger bara stöd i den omfattning som de har möjlighet, något som inte är tydligt reglerat i avtalet. Den yttersta konsekvensen kan bli att man får börja om från början. Misstänksamhet mot digitala verktyg/nätet. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Betydande Måttlig Analysgruppen bedömer sannolikheten att det här ska ske som minimal, eftersom tjänsten är stabil och leverantören lägger stor vikt vid att tjänsten ska vara tillgänglig. Däremot kan internetanslutningar eller andra interna lösningar, t.e. integration av användarkonton påverka tillgängligheten, men även här finns en stabilitet och rutiner för att säkerställa tillgängligheten.

17 Om tillgängligheten brister under längre tid, blir det allvarliga konsekvenser för verksamheten eftersom det pedagogiska arbetet stannar av. Därför behöver det finnas rutiner för hur man ska gå tillväga om MIH ligger nere. Hotbild 5 Spårbarheten försvinner Hotkälla: Beskrivning av händelseförlopp: er Allvarlig DreamCloud, eternt. Systemet havererar när det gäller spårbarheten. Konton är inte längre kopplade till uppgifterna. Spårbarheten försvinner, man ser inte vilken elev som gjort vad i de olika dokumenten. Det blir störningar i den pedagogiska vardagen, både för elever och personal. Det får konsekvenser i bedömningsarbetet, när man ska gå bakåt i tiden för att titta över kommentarer osv. Betydande Måttlig Analysgruppen anser att konsekvenserna blir betydande ur ett pedagogiskt perspektiv, och har svårt att bedöma sannolikheten, men eftersom tjänsten är uppbyggd på den här sortens spårbarhet, där man kan dela dokument, skriva tillsammans osv. tror man inte att det kommer hända. Så länge man sätter sina behörigheter rätt, är allting spårbart. Det finns en risk när det gäller Mittköpings integrationsmotor, att den havererar och därmed kontoskapande inklusive kopplingar till olika skolor/klasser/grupper. Men i de fallen finns rutiner för manuell hantering. Hotbild 6 Hotkälla: Beskrivning av händelseförlopp: Felaktig behandling av personuppgifter DreamCloud Leverantören visar sig använda och behandla personuppgifter för eget ändamål, trots avtal om annat.

18 er Kommunen kan anses bryta mot gällande lag, vilket kan leda till hävande av avtal och/eller byte av leverantör och därmed verksamhetsförlust och/eller ekonomisk förlust för kommunen. Allvarlig Misstänksamhet mot digitala verktyg/nätet. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Betydande Måttlig Det här är en viktig punkt där nämnden känner stort ansvar. Om det skulle komma fram att leverantören använder information och personuppgifter för egna syften skulle det innebära lagbrott och risk för negativ påverkan för kommunens varumärke. Det skulle motivera att tjänsten sägs upp och det anses som en allvarlig konsekvens. I avtalet tycker man ändå att det tydligt finns beskrivet att det inte är tillåtet och att det inte kommer att ske, så man bedömer risken som mindre sannolik. Hotbild 7 Hotkälla: Beskrivning av händelseförlopp: Förändring av tjänsten DreamCloud Leverantören beslutar sig för att ändra innehållet i tjänst, lägga till eller ta bort olika funktioner utan att vi som kund kan påverka det. er Allvarlig Det blir störningar i den pedagogiska vardagen, både för elever och personal när nya funktioner läggs till och ska anpassas, användas alternativt funktioner man använt som försvinner. Avtalet kan behöva förändras för att stämma med ny funktionalitet. Personuppgiftsbehandlingen kan förändras och det kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust. Betydande Måttlig

19 Analysgruppen har svårt att bedöma hur sannolikt det är att detta inträffar. Baserat på att man har haft tidigare kontakter med leverantören där man inte har kommit med plötsliga negativa förändringar, bedömer man att leverantören kommer att ha god framförhållning även i fortsättningen. Hotbild 8 Hotkälla: Beskrivning av händelseförlopp: er Information och personuppgifter gallras inte Manuell hantering av kontoskapande. Avtal med leverantörer som tillhandahåller integration. Information och personuppgifter raderas inte efter att elever har slutat i verksamheten. Rutinerna vid manuell hantering av kontoskapande brister, den som ansvarar för kontona slutar, blir sjuk, glömmer, hinner inte etc. Leverantören som ansvarar för integrationen kan inte leverera en integration som raderar konton enligt skolans krav alternativt något händer som gör att integrationen havererar. Tjänsterna kan fortsätta att användas trots att eleven inte tillhör skolan. Intern information kan spridas till utomstående. Personuppgifter kan bevaras längre än vad som är motiverat från verksamhetens behov. Allvarlig Betydande Måttlig Här finns ett stort ansvar för såväl nämnd som enskild administratör. Dokumenthanteringsplaner och tydliga rutiner för hur man t.e. hanterar manuellt skapade konton och kontroll av integrationen kan det få betydande konsekvenser. Verksamheten måste säkerställa att åtgärder är tagna. Hotbild 9 Hotkälla: Beskrivning av händelseförlopp: Virus eller annan skadlig kod Eterna hotkällor Virus eller annan skadlig kod kommer in via tjänsten och sprider sig till kommunens övriga it-miljö.

20 er Störningar i it-leveransen och eventuellt för verksamheten, beroenden på virusets karaktär. Ekonomiska konsekvenser. Allvarlig Betydande Måttlig Här tycker it-samordnaren att det är svårt att bedöma påverkan som molntjänsten har på kommunens övriga it-miljö, men om det skulle inträffa skulle det få betydande, eventuellt allvarliga konsekvenser. Eftersom molntjänsten är separat från övrig IT-drift bedömer man ändå att det är mindre sannolikt. Kommunen har ett eget virusskydd och DreamCloud arbetar också mycket aktivt med att förhindra datorvirus varför risken bedöms som liten. Hotbild 10 Hotkälla: Beskrivning av händelseförlopp: Konkurs och/eller uppköp DreamCloud och andra leverantörer Leverantören går i konkurs eller köps upp av intressent som inte respekterar ingånget avtal eller som leder till att tjänsten avvecklas er Allvarlig Kan framtvinga hävande av avtal och/eller byte av leverantör och därmed verksamhetsnyttoförlust och/eller ekonomisk förlust för kommunen. Nedlagt arbete går till spillo, förseningar i produktionen/skolarbetet, medarbetare/skolpersonal/elever tappar förtroende för sin arbetsmiljö. Misstänksamhet mot digitala verktyg/nätet. Användares brist på förtroende och negativ påverkan på kommunens varumärke. Betydande Måttlig

21 Den här risken är svårbedömd, men om det skulle inträffa kan det bli allvarliga konsekvenser om tjänsten skulle läggas ner eller en ny ägare skulle göra stora ändringar i villkoren. DreamCloud är en stor aktör och det finns ingenting i dagsläget som tyder på att detta skulle inträffa. Det ska finnas back-up av informationen och den ska kunna kontrolleras fortlöpande av kommunen. Sammantaget bedömer man att det inte är stor risk att detta inträffar. Hotbild 11 Hotkälla: Beskrivning av händelseförlopp: Data och metadata kan inte överföras DreamCloud och andra leverantörer Data och metadata kan inte överföras till annan IT-lösning vid avslutande av tjänsten. er Allvarlig Information som man vill behålla i verksamheten förloras och man måste börja om från noll varje gång man byter leverantör. Risk för inlåsning till befintlig leverantör Betydande Måttlig Det finns tydlig beskrivning av hur data och metadata ska kunna tas ut och flyttas vidare till annat it-stöd. Man tar även med i bedömningen att den information som finns i tjänsten inte är skolans huvudsakliga dokumentationssystem, utan att det är frågan om arbetsmaterial som ändå kan ha kortare hållbarhet. 4.5 Samlad riskbedömning efter beskrivna hotbilder Här är samtliga beskrivna hotbilder som har identifierats i analysen inlagda. Allvarlig 3, 4, 10 Betydande 1,2,5,6,9 7, 8 Måttlig 11

22 Del 3: Fastställ åtgärder 1. Rekommendation av åtgärder Som underlag till objektförvaltningens prioriterade handlingsplan. Hotbild Riskbedömning Åtgärd: Prioritet: Ansvarig: Användarnas arbetsmaterial går förlorad pga. systemfel Betydande/ mycket sällan Det skall finnas backup av informationen i tjänsten. Denna skall kunna kontrolleras och prövas fortlöpande av kommunen Mellan Säkerställ rutin för back-up Integritetskänslig information finns och läcker ut Betydande/ mycket sällan Leverantören ska etablera och upprätthålla en informationssäkerhet som skyddar mot intrång. Denna ska kunna kontrolleras och prövas fortlöpande av kommunen Tydliga instruktioner kring vilken information som får finnas i tjänsten. Mellan Hög; vad gäller att ta fram instruktion till användare. Likabehandlingsplaner på skolan som tar upp området. Ej tillräcklig informationssäkerhet i systemet Allvarlig/ mycket sällan Leverantören ska etablera och upprätthålla en informationssäkerhet som kan kontrolleras och prövas fortlöpande av kommunen. Leverantören är certifierad enligt ISO/IEX Nivån för informationssäkerheten ska göra det möjligt för kommunen att uppfylla motsvarande krav som gäller enligt Myndigheten för samhällsskydd och beredskaps föreskrifter om statliga myndigheters informationssäkerhet (MSBFS 2009:10) Låg Brist i tillgänglighet Allvarlig/ mycket sällan Nivån på tillräcklig tillgänglighet ska regleras i avtal. Nivån ska vara konkret och mätbar och med Mellan

23 konsekvens för leverantören vid återkommande brister. Kommuner har rutiner för uppföljning och kontroller. Spårbarheten försvinner Betydande/ mycket sällan Leverantören har back-up och rutiner så att förlorat material kan återskapas Låg Felaktig behandling av personuppgifter Betydande/ mycket sällan Leverantören garanterar i avtal att personuppgifter endast kommer att behandlas för de ändamål som leverantören har anlitas för. Mellan Förändring av tjänsten Betydande/ sällan Leverantören informerar löpande om förändringar. Kommunen har rutiner för att granska förändringarna och ta ställning till konsekvenserna. Hög Information och personuppgifter gallras inte Allvarlig/ mycket sällan Avslutande/gallring av konton styrs enligt kommunens riktlinjer. Rutiner ska finnas. Mellan Virus eller annan skadlig kod Betydande/ mycket sällan Kommunen själv och leverantören har väl etablerade skydd mot virus och fientlig kod. Tjänsten är avskild från kommunens övriga IT-miljö. Mellan Konkurs och/eller uppköp Allvarlig/ mycket sällan Det ska finnas back-up av informationen från tjänsten. Denna ska kunna kontrolleras och prövas fortlöpande av kommunen. Back-up ska kunna användas av kommunen utan leverantörens medverkan eller godkännande. Mellan säkerställ en rutin för kontroll av backup. Data och metadata kan inte överföras Måttlig/sällan Leverantören beskriver i avtalet hur detta ska kunna genomföras. Låg